“와이파이 라우터 이용한 DNS 변조 공격 발견”
상태바
“와이파이 라우터 이용한 DNS 변조 공격 발견”
  • 김선애 기자
  • 승인 2017.01.05 09:36
  • 댓글 0
이 기사를 공유합니다

스위처, 안드로이드 기기 통해 와이파이 라우터 감염·DNS 설정 변경…악성코드·피싱 공격 진행

안드로이드 기기를 이용해 와이파이 라우터에 연결된 기기를 통제하는 새로운 트로이목마 ‘스위처(Switcher)’가 발견돼 사용자들의 각별한 주의가 요구된다.

카스퍼스키랩에 따르면 스위처는 안드로이드 기기를 통해 와이파이 라우터를 감염시키고, 해당 라우터의 DNS 설정을 변경시킨다. 해당 와이파이 라우터와 연결된 기기를 해커가 제어하는 웹사이트로 접속하게 해 피싱, 악성코드, 애드웨어와 같은 공격을 진행한다. 현재까지 스위처 트로이목마에 감염된 무선 네트워크는 중국을 중심으로 1280개에 달하는 것으로 알려져 있다.

중국 검색엔진·와이파이 정보 공유 앱 위조해 공격

DNS란 ‘x.com’과 같이 읽을 수 있는 문자로 구성된 웹 주소를 숫자로 이뤄진 IP 주소로 변환하는 서비스를 말한다. 스위처 트로이목마가 이 변환 과정에 침투하면 인터넷 트래픽과 같이 주소 변환 시스템을 사용하는 네트워크 활동을 장악하는 것이다.

일반적으로 무선 라우터는 네트워크 내 모든 기기의 DNS 설정을 자체적으로 재구성하므로 이 같은 공격 방법은 효과적이다. 모든 사용자가 하나의 악성 DNS를 사용할 수밖에 없도록 강제하기 때문이다.

스위처 트로이목마는 주로 사용자가 해커가 운영하는 웹사이트에서 악성코드를 다운로드 하는 방식으로 감염된다. 정상적인 프로그램으로 가장한 이 악성코드는 두 가지로, 하나는 중국 검색 엔진인 바이두의 안드로이드 클라이언트로 위장한 버전이며 또 하나는 와이파이 네트워크 정보를 공유하는 중국의 유명 앱인 ‘와이파이 만능월시(万能钥匙)’를 위조한 버전이다.

감염된 기기가 무선 네트워크와 연결되고 나면, 스위처 트로이목마는 라우터를 공격하고 사전에 정의된 암호 목록과 로그인 조합을 무작위로 대입해 라우터의 관리자 인터페이스로 침투하려는 시도를 한다. 침투 시도가 성공하면 기존 DNS 서버를 해커 조직에서 제어하는 악성 DNS로 교체하고, 메인 DNS가 다운될 경우에 대비해 보조 DNS까지 마련해 놓다.

스위처 공격을 받으면 해커 조직에서는 트로이목마를 심은 와이파이 앱을 사용자에게 홍보 및 유포할 목적으로 웹사이트를 제작했다. 이 사이트를 호스팅하는 웹 서버는 악성코드 개발자의 C&C 서버의 기능도 겸한다. 해당 웹사이트에 공개된 감염 통계에 따르면 스위처 해커 조직에서는 1280개의 웹사이트에 침투했다고 보고 있다. 잠재적으로는 이들과 연결된 모든 기기가 스위처 악성코드의 감염과 공격에 노출돼 있는 셈이다.

▲‘스위처’ 공격 프로세스

변조된 라우터 재시작해도 공격 사라지지 않아

이창훈 카스퍼스키랩코리아의 지사장은 “스위처 트로이목마는 라우터를 공격해 연결된 기기를 공격하는 새로운 경향의 공격 수법이다. 이 트로이목마는 네트워크 전체를 표적으로 삼고 개인 사용자든 기업이든 가릴 것 없이 네트워크에 연결된 모든 사용자를 피싱에서부터 2차 감염까지 크고 작은 위협에 노출시킨다. 일단 공격이 성공적으로 이뤄지면 탐지하기 쉽지 않으며, 제거하기는 더욱 어렵다. 변조된 설정은 라우터를 재 시작해도 원래대로 돌아가지 않으며, 설령 악성 DNS가 비활성화될지라도 보조 DNS 서버가 작동하기 때문이다. 장비 보안의 중요성은 그 어느 때보다도 커졌다. 이제 오늘날과 같이 연결된 세상에서는 라우터와 와이파이 네트워크의 취약점도 결코 간과해서는 안된다”고 말했다.

카스퍼스키랩에서는 모든 사용자가 DNS 설정을 점검하고 아래와 같은 악성 DNS 서버가 있는지 확인해볼 것을 당부한다.

101.200.147.153

112.33.13.11

120.76.249.59

DNS 설정에서 이들 서버 중 하나라도 보이면 이용 중인 인터넷 서비스 공급업체에 지원을 요청하거나 와이파이 네트워크의 소유자에게 경고해야 한다. 또한 카스퍼스키랩에서는 스위처 트로이목마와 같은 악성코드의 공격 가능성을 차단하기 위하여 라우터 관리자 웹 인터페이스의 기존 아이디 및 암호를 변경하는 것이 좋다고 조언한다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.