• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

은행 노리는 사이버 공격자들, 가정용 라우터 10만대 침해 2018.10.04

디도스 공격과 암호화폐 채굴 위해 사물인터넷 공격? 이미 옛말
공격자들의 공격 개발 속도 무시무시해...사물인터넷 패치가 제일 중요

[보안뉴스 문가용 기자] 신원 불명의 공격자가 약 10만 대의 가정용 라우터들을 하이재킹해 DNS 설정을 조작했다. 브라질 여러 은행들의 고객 로그인 크리덴셜을 훔치기 위한 것이었다. 이를 발견한 건 보안 업체 라드웨어(Radware)로, 지난 8월부터 이러한 공격 행위를 추적해왔다.

[이미지 = iclickart]


라드웨어에 의하면 공격자는 처음 디링크 DSL(DLink DSL) 모뎀 라우터들을 주로 노리면서 작은 규모로 활동을 시작했다가, 서서히 그 범위를 늘려 현재는 70개 종류의 가정용 라우터들을 공략하고 있다고 한다.

중국의 보안 업체인 치후360(Qihoo 360)도 지난 일요일 펴낸 보고서를 통해 약한 비밀번호를 가지고 라우터를 침해하려는 시도가 크게 늘어났다고 발표한 바 있다. 치후360 역시 “이 시도가 대부분 브라질에서 이뤄지고 있다”고 밝혔다. 다만 치후는 이 공격에 고스트DNS(GhostDNS)라는 이름을 붙였다.

공격자들은 이전부터 알려진 DNS 하이재킹 익스플로잇인 DNS체인저(DNSChanger)를 라우터들에 설치하고, 디폴트 설정 내용을 바꾸려고 반복적으로 시도했다. 이렇게 하는 목적은 라우터를 통과하는 트래픽을 악성 서버로 우회시키기 위함이었다.

그런 후 사용자들이 특정 은행에 접근하려고 하면 로그 서버가 이를 피싱 서버로 우회시켰다. 이 서버에는 은행, 클라우드 서비스 업체, 넷플릭스, 사이버 보안 업체 한 군데의 가짜 웹 페이지가 호스팅되어 있었다.

공격자들이 비밀번호를 아무리 대입해도 접근할 수가 없을 경우, dnscgf.cgi라는 익스플로잇을 사용해 원격에서 DNS 서버 설정을 조작했다. DNS체인저가 사용됐던 이전 캠페인과 달리 이번 공격은 세 가지 서브모듈이 추가적으로 사용됐다. 셸 DNSChanger(Shell DNSChanger), Js DNS체인저, PyPhp DNS체인저가 바로 그것이다. 전부 합쳐서 약 100개의 스크립트를 가지고 있으며, 70개 종류의 라우터가 가진 설정 내용을 바꾸는 기능을 가지고 있다.

셸 DNS체인저 모듈의 경우, 25개의 셸 스크립트들로 구성되어 있고, 21개의 라우터와 펌웨어를 공격한다. 서드파티 툴을 사용해 IP를 스캔하는데, 전부 브라질에 있는 IP 주소들이다. 또한 라우터 정보를 수집하고, 이를 통해 웹 인증 페이지를 크래킹하려고 시도한다. Js DNS체인저 모듈은 자바스크립트로 작성되어 있는데, 여섯 가지 라우터 및 펌웨어를 공격할 수 있다. PyPhp DNS체인저는 가장 중요한 모듈인데, 47가지 라우터 및 펌웨어를 공격한다. 치후360에 의하면 100개 이상의 서버에 이 PyPhp DNS체인저가 설치되어 있다고 한다.

치후360은 권고 사항을 통해 “고스트DNS 공격은 인터넷 자체에 대한 실제적인 위협”이라고 설명했다. “규모가 굉장히 크고, 다양한 공격 방법을 활용하며, 자동화 프로세스를 통해 효율적인 공격을 합니다.”

라드웨어의 보안 전문가 파스칼 지넨스(Pascal Geenens)는 “고스트DNS는 공격자가 사물인터넷 장비를 자신들의 목적 달성을 위해 어떻게 활용하는지를 보여주는 사례”라고 설명한다. “이전에는 공격자들이 사물인터넷 장비를 하이재킹한 뒤 봇넷을 만들고, 이 봇넷으로부터 디도스 공격을 하거나 암호화폐를 채굴하는 것이 전부였습니다. 하지만 지금은 사물인터넷을 침해해 로그인 크리덴셜을 훔쳐 은행 고객들에게 금전적인 피해를 끼치고 있지요.”

확실히 이번 고스트DNS 공격을 통해 사이버 공격자들은 소비자용 라우터들을 어떤 식으로 활용할 수 있는지를 보여줬다. “특히 소름끼치는 건 사용자들이 이러한 공격을 눈치 챈다는 게 굉장히 어렵다는 겁니다. 오래된 버전의 브라우저를 사용하는 사람들이라면 더더욱 그렇지요.”

지넨스는 “사물인터넷 해킹 공격이 이렇게 빠르게 변하고 있다는 것에 놀랐다”며 “공격을 변화시킨다는 게 말이 쉽지 기술적인 탄탄함이 뒷받침 되어야만 가능한 것”이라고 덧붙였다.

일반 사용자들이 고스트DNS를 방어하기 위해서는 장비 및 펌웨어의 업데이트가 필수적이다. “이번 고스트DNS 공격의 가장 큰 특징은 이미 알려진 취약점들이 익스플로잇 되었다는 겁니다. 즉 피해자들이 패치를 제대로 했다면 당하지 않았을 공격이었다는 것이죠.” 하지만 지넨스는 “사물인터넷 장비 업데이트는 정말 제대로 되는 사례가 거의 없다”며 “이런 식의 공격은 앞으로도 계속해서 이어질 것”이라고 한숨을 쉬었다.

3줄 요약
1. 브라질의 은행 고객들 노린 사물인터넷 침해 공격 대거 발견됨.
2. 알려진 취약점들 익스플로잇하는 세 개 모듈 통해 총 10만대가 당했음.
3. 이런 공격에 당하지 않으려면 가장 중요한 게 장비와 펌웨어 업데이트.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>