브라질 모바일 뱅킹 사용자들 사이에서 특히 피해 많아
DNS 세팅 바꿔 트래픽을 하이재킹…크리덴셜 훔치는 것이 목표

[보안뉴스 문가용 기자] 가정 및 소규모 사업장에서 사용되는 SOHO 라우터들이 사이버 범죄자들의 주요 표적이 되어가고 있다. 특히 금융 정보나 크리덴셜을 노리는 공격자들 사이에서 인기가 높아지고 있다.


이런 흐름 속에서 새롭게 나타난 위협이 바로 노비다드(Novidade)라는 익스플로잇 키트다. 이미 여러 공격 그룹이 사용하고 있으며, 특히 브라질의 라우터 수백만 대가 공격 당한 것으로 나타났다. 브라질 외 다른 나라에서도 소규모 공격이 있었다.

이 익스플로잇 키트는 침해한 라우터의 DNS 설정을 바꾼다. 그래서 해당 라우터를 통과한 모든 트래픽을 하이재킹해 악성 서버로 우회시킨다. 예를 들어 노비다드에 감염된 라우터 사용자가 특정 은행에 접근하려고 하면, 이 트래픽은 그 은행의 로그인 페이지와 똑같은 가짜 페이지로 사용자를 안내한다.

보안 업체 트렌드 마이크로(Trend Micro)는 이 새로운 위협을 추적 중에 있다. 그리고 3월부터 한 번의 공격 캠페인이 노비다드를 최소 2천 4백만 번 배포시킨 것으로 보고 있다. 트렌드 마이크로가 이를 추적하며 축적해온 자료에 의하면 노비다드 익스플로잇 키트 공격은 2017년 8월부터 시작됐을 가능성이 높다.

대부분의 공격은 결국 인터넷 뱅킹용 크리덴셜을 탈취하는 것을 목적으로 하고 있었다. 특히 브라질 은행 고객들이 주요 표적이었다. 그러나 반드시 브라질에서만 공격이 있었던 건 아니다. 특별한 패턴 없이 다른 지역에서도 공격이 발생했다. “공격자들이 범위를 넓히고 있거나, 익스플로잇 키트를 사용하는 공격자들이 많아지고 있거나, 둘 중 하나입니다.”

트렌드 마이크로에 의하면 노비다드 공격자들이 침해한 라우터 모델들은 디링크(D-Link)의 DSL-2740R과 DIR-905L, 미디어브리지(MediaBridge)의 미디어링크 MWN-WAPR300, 모토롤라(Motorola)의 SBG6580, TP링크(TP-Link)의 TL-WR340G와 WR1043ND 등이다.

“노비다드 익스플로잇 키트는 일반 사용자들을 대상으로 한 공격의 표적이 바뀌고 있다는 걸 극명하게 드러내는 증거입니다.” 트렌드 마이크로의 클라우드 부문 부사장인 마크 누니코벤(Mark Nunnikhoven)의 설명이다. “이 멀웨어는 랩톱과 데스크톱이라는 ‘발판’을 통해 네트워크의 심장에 있는 라우터를 공격합니다. 또 라우터의 DNS 설정을 바꿈으로써 공격자들은 다른 장비를 침해하거나 재미로 다른 크리덴셜을 노릴 수도 있게 됩니다.”

SOHO 라우터를 겨냥해 침해하고서는 DNS 설정을 바꾸는 공격은 최근에만 벌써 두 번째 나타나는 범죄 패턴이다. 지난 8월에는 보안 업체 라드웨어(Radware)가 DNS 하이재킹 시도를 탐지해 발표한 바 있다. 이 때도 디링크의 DSL 모뎀을 가지고 있는 브라질 사용자들이 주요 공격 대상이었다. 이 캠페인은 지난 10월 폭발적으로 확대되면서 20개가 넘는 라우터 모델들이 공격받기 시작했다.

이러한 성장 상황을 제일 먼저 발견한 건 중국의 보안 업체 치후 360(Qihoo 360)으로, 브라질 개별 사용자의 라우터 10만 대가 당한 것으로 보인다는 발표를 했다. 당시 치후 360이 제시한 공격자들의 무기는 DNS체인저(DNSChanger)라는 유명 라우터 하이재킹 툴이었다.

올해 초에는 FBI가 SOHO 라우터를 겨냥한 대규모 사이버 공격이 발생한다고 경고하기도 했었다. 당시 언급된 건 VPN필터(VPNFilter)라는 멀웨어였고, 현재 이 VPN필터에 당한 SOHO 라우터는 전 세계에 50만대가 넘는 것으로 보인다.

트렌드 마이크로는 “현재 공격자들은 노비다드를 퍼트리기 위해 온갖 수단을 다 동원하고 있다”고 경고했다. “멀버타이징, 웹사이트 주입형 공격, 인스턴트 메시징, 브라질 대통령 선거를 주제로 한 피싱 캠페인 등이 여기에 포함됩니다. 피해자가 이 많은 덫 중 하나에 속아 클릭을 하면 노비다드로 연결이 됩니다. 클릭 시 연결되는 랜딩 페이지에 주입된 자바스크립트 이미지 함수가 자동으로 HTTP 요청들을 미리 정해진 IP 주소로 전송하죠. 이 IP 주소들은 라우터들이 흔히 사용하는 것들입니다.”

그렇게 해서 성공적으로 연결이 이뤄지면 노비다드 익스플로잇 키트는, 탑재된 모든 익스플로잇을 동원하여 IP 주소를 공격한다. 통할 법한 익스플로잇을 가려내는 절차 따위는 없다. 모든 걸 쏟아붓고 통하기를 기다린다. 그런 후에 디폴트 계정 이름과 비밀번호들을 가지고 라우터에 로그인을 시도한다. 이 과정까지 성공하면 DNS 설정을 변경시킨다.

트렌드 마이크로는 “노비다드의 변종으로 보이는 멀웨어를 최소 3개 발견했다”고도 경고했다. 이 세 가지 모두 같은 방법, 같은 전략으로 같은 라우터들을 공략하고 있다. 다만 기능 면에서 조금의 차이를 보였는데, 최신 버전일수록 더 많은 기능을 가지고 있었다. “예를 들어 두 번째 변종에는 난독화 기능이 추가됐어요. 그래서 탐지가 더 어려워졌죠. 세 번째 버전은 더 강화된 난독화 기능을 탑재했으며, 표적화된 공격을 실시할 수 있도록 설정되어 있습니다.”

이 공격에 대처하기 위해서 사용자들이 할 수 있는 일은 라우터 펌웨어를 최신화하는 것이라고 트렌드 마이크로는 권고했다. 또한 디폴트 사용자 이름과 비밀번호를 다른 것으로 설정하는 것도 필수적이며, 원격 접근 기능이 있다면 비활성화 시키는 것도 좋은 방법이라고 제안했다.

3줄 요약
1. 브라질 SOHO 라우터 사용자들 겨냥한 공격, 대규모로 이뤄지고 있음.
2. 최근 나타난 건 노비다드라는 익스플로잇 키트. 궁극적 목표는 온라인 뱅킹 크리덴셜.
3. 버전 업 꾸준하게 이뤄지고 있음. 펌웨어 업데이트와 비밀번호 변경이 방어 수단.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>