포털 사이트 접속시 설치창 뜬다면...공유기 DNS서버 주소 변경 확인

[보안뉴스 민세아] 최근 외부 해킹을 통해 공유기 DNS서버 주소가 변경된 상태에서 포털사이트 접속 시 어도비 플래시 플레이어(Adobe Flash Player) 액티브X 설치창이 생성되는 사례가 발견됐다.

해킹된 공유기를 통해 네이버(Naver) 메일 페이지 접속 시 네이버와 똑같이 만든 악성 사이트로 사용자를 유도해 가짜 어도비 플래시 플레이어를 다운받을 수 있는 액티브X 설치창을 생성하는 것이다.

마이크로소프트의 IE(Internet Explorer) 뿐만 아니라 구글 크롬(Chrome) 웹 브라우저에서도 동일하게 동작하며, 사용자가 의심하지 못하고 설치할 경우 악성코드에 감염된다. 악성코드에 감염될 경우 네이버 포털사이트 로그인 영역에 계정정보를 입력하면 로그인이 되지 않고 계속해서 설치창이 뜨는 것으로 밝혀졌다.

구글 크롬 브라우저에서 표시되는 액티브X 설치창은 이미지로 제작된 배너 형태의 설치방식이다. 보안 분야 파워블로거 벌새는 “해커는 네이버 로그인 정보 수집과 함께 추가 악성코드 설치를 통해 사용자의 인터넷 뱅킹을 노리는 것으로 보인다”고 전했다.

공유기 해킹은 외부에서 툴을 이용해 특정 IP 대역에 대한 공유기 스캔을 거쳐 원격으로 DNS서버 주소를 변경하는 것이기 때문에 해커가 사용자 근처에 있지 않아도 해킹이 가능하다는 것이 벌새의 설명이다.

만약 네이버 포털사이트 접속시 위와 같은 창이 뜬다면 ‘게시자의 인증서에 대한 정보’를 확인하는 방법과 공유기 DNS서버 주소를 확인하는 방법이 있다.

설치창의 인증서 확인 시 정상적인 인증서가 아닌 ‘이 인증서가 만료되었거나 아직 유효하지 않습니다’와 같은 메시지가 표시되거나 ‘인증 경로’ 탭에서 인증서가 유효하지 않다고 표시될 경우 가짜 설치창으로 판단하면 된다.

또한, 공유기 관리자 페이지에 접속해 공유기 환경 설정값 중 기본/보조 DNS서버 주소가 수동으로 설정돼 있고, 통신사에서 제공하는 DNS서버 주소가 아닌 IP주소로 설정된 경우 공유기 해킹을 의심해야 한다.

만약 DNS서버가 임의로 변경되는 등 공유기 해킹이 의심되는 사용자는 공유기 리셋 버튼을 통한 공장 초기화, 펌웨어 업데이트, 관리자 페이지 비밀번호 설정 등의 보안 설정을 통해 더 이상 피해가 발생하지 않도록 조치를 취해야 한다.

[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>