• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

중동에서는 메르스가 오고, 브라질에선 멀웨어 오고 2015.06.03

브라질에서 출발한 듯한 가정용 라우터 DNS 하이재킹 멀웨어 \r\n

현재 해커들이 노리는 가장 취약한 곳이 라우터

\r\n


\r\n

[시큐리티월드 문가용] 트렌드마이크로의 연구원들이 가정용 라우터의 DNS 세팅을 바꿀 수 있게 해주는 악성 브라우저 스크립트를 발견했다. 그리고 이런 악의적인 변경으로 로그인 정보 및 여러 민감한 정보를 훔칠 수 있는 것으로 드러났다. 이번 발견으로 DNS 하이재킹이 현재 가장 인기 높은 해킹 공격의 유형이라는 것이 다시 한 번 확인되었다.

\r\n

지난 주 ESET의 연구원들은 리눅스 임베디드 시스템에서 무스라는 이름의 멀웨어를 발견해 보도한 바 있다. 물론 무스 자체가 DNS 하이재킹에 사용된 것은 아니었지만, 그 가능성이 아예 닫혀있는 상태는 아니라고 ESET은 보고했었다. 조금 더 되돌아간 지난 4월, 미국 연방준비은행(FRB)의 트래픽이 악성 웹 페이지로 우회되는 공격이 드러나기도 했었는데, 이 역시 DNS 하이재킹의 한 사례라고 분류가 가능하다.

\r\n

\r\n

\r\n

\r\n\r\n\r\n\r\n\r\n
\r\n

\r\n

▲ 지금 가는 길(traffic)이 좀 수상하지만, 그냥 느낌이겠지.

\r\n


\r\n

이번에 트렌드마이크로에서 발견한 멀웨어는 일단 피해자의 88%가 브라질인이라는 특징이 있다. 하지만 이미 해당 멀웨어는 국경을 넘어 미국과 일본에서도 발견이 된 상황이다. 그렇다면 감염 균은 어떻게 퍼지고 있을까? 일단 피해자가 악성 스크립트를 포함한 웹 사이트에 접속을 해야 한다. 이때는 소셜 엔지니어링이나 피싱 공격 등이 감행된다.

\r\n


\r\n

그렇게 피해자가 악성 사이트에 접속한 경우 브라우저 스크립트는 브루트포스 공격을 라우터에 감행할 수 있게 된다. 그리고 간단하게 여러 관리자 접속에 필요한 정보를 알아낸다. 정보를 알아낸 후에 스크립트는 HTTP 요청 하나를 라우터로 보내는데, 여기에 악성 DNS 서버 IP 주소가 들어있다. “악성 IP 주소가 라우터의 기존 IP 주소를 대체하면 모든 감염 과정은 끝납니다.”

\r\n


\r\n

이 때 인터넷 임시 파일은 피해자 시스템에 생성된다. “그러나 임시 파일 빼놓고는 그 어떤 파일도 피해자 기기에 생성되지 않습니다. 그리고 여기서부터 그 라우터를 통한 트래픽은 죄다 악성 DNS 서버 IP 주소를 거치게 되어 있습니다. 거기엔 해커들이 중간에서 데이터를 가로채려고 눈치를 보고 있는 곳이고요.”

\r\n


\r\n

그렇게 하면 예를 들어 사용자가 정식 은행 사이트에 접속하려고 하면 그 트래픽을 스푸핑된 버전으로 돌린다거나 해서 로그인 정보, PIN, 암호 등의 정보를 쉽게 빼돌릴 수 있게 된다. “수정된 DNS 세팅을 잘 맞추면 사용자가 어지간해서는 자기가 진짜 사이트에서 돌아다니고 있는지 가짜 사이트를 보고 있는지 구분할 수가 없습니다. 그래서 기기의 디폴트 암호 값을 바꾸지 않는 것은 참으로 위험하기 짝이 없는 행동인 것이죠.”

\r\n


\r\n

트렌드마이크로의 글로벌 위협 소통 관리자인 크리스토퍼 버드(Christoper Budd)는 DNS 하이재킹의 인기가 날로 높아지고 있는 사실 자체에 초점을 맞추어야 한다고 주장한다. “과거에는 컴퓨터 시스템에 침투해 거기서부터 DNS 세팅을 조정했죠. 하지만 최근엔 라우터에 직접 들어갑니다. 더 효과적이라는 걸 알게 된 것이죠.”

\r\n


\r\n

컴퓨터 시스템을 해킹하고 DNS 옵션을 바꾸는 것보다 DNS를 직접 장악해 모든 트래픽을 손아귀에 넣는 것이 보다 효율적이라는 것은 깊은 전문지식 없이도 얼마든지 추론이 가능한 사실이다. 게다가 요즘 라우터에 연결되어 있는 건 컴퓨터뿐만이 아니다. 금맥이 계속해서 늘어나기까지 하는 것이다. “즉 DNS만 가로채면 여러 기계를 해킹한 것과 비슷한 효율을 낼 수 있는 거죠.”

\r\n


\r\n

한 마디로 트렌드. DNS는 요즘 정보보안의 트렌드다. “사용자의 보안의식이 강화되고, 엔드포인트 시스템이 덩달아 단단해져감에 따라 해커들은 ‘약한 부위’를 찾아 헤매게 되는데, 그게 요즘은 DNS인 듯 합니다. 이제 이 다음은 무엇일까 궁금하기도 하지만, 그 궁금증이 풀리려면 DNS를 강화시키는 게 먼저겠죠.”

\r\n


\r\n

[글 : 시큐리티월드 문가용 기자]

\r\n


\r\n

[월간 시큐리티월드 통권 221호 (sw@infothe.com)]

\r\n


\r\n

<저작권자 : (www.securityworldmag.co.kr) 무단전재-재배포금지>

\r\n