아직 한국에서는 피해자 없는 것으로 보이지만 세계 곳곳에 퍼져
가짜 랜딩 페이지를 써서 iOS 사용자 공격...안드로이드는 라우터 침해 통해

[보안뉴스 문가용 기자] 보안 업체 카스퍼스키 랩(Kaspersky Lab)이 수많은 사용자들을 노리는 멀웨어 공격을 적발했다. 작년부터 시작된 로밍 맨티스(Roaming Mantis) 캠페인과 관련이 있어 보인다고 한다.


현재 악성 SMS에 포함된 피싱 링크의 형태로 퍼지고 있는 이 공격은(즉 스미싱 공격) 러시아, 일본, 인도, 방글라데시, 카자크스탄, 아제르바이잔, 이란, 베트남에서 피해자들을 대량으로 낳고 있다고 한다.

카스퍼스키는 올해 2월 25일부터 3월 20일까지 이 멀웨어를 6800번 이상 발견했고, 피해자를 중복 없이 950명 이상 발견했다. 카스퍼스키는 이 멀웨어를 동원한 공격이 로밍 맨티스라는 캠페인과 관련이 깊다고 보고 있다.

그렇기 때문에 카스퍼스키는 “훨씬 많은 피해자가 발생했고 또 발생 중이며, 현재까지 발견된 건 빙산의 일각일 뿐”이라고 보고 있다. “실제 캠페인의 규모는 950명의 피해자를 넘어설 것입니다.”

가장 최근에 있었던 공격은 새로운 피싱 기법을 통해 이뤄졌는데, “악성 모바일 설정 조작이 사용됐다”고 한다. 원래 로밍 맨티스 캠페인은 “DNS 조작 기법을 주로 사용하는 것으로 유명”했다. “물론 DNS 조작 기법이 사라진 건 아닙니다. 모바일 설정 조작과 병행해서 사용되고 있습니다.”

과거의 로밍 맨티스 공격과 현재의 로밍 맨티스 공격에서 나타나는 가장 큰 차이점은 “iOS 장비들을 노린 악성 랜딩 페이지가 달라졌다”는 것이다. “사용자들을 이 랜딩 페이지로 유도한 후에는 새로운 iOS 모바일 설정을 적용하라는 안내를 보여줍니다. 당연히 악의적인 의도를 가지고 있습니다.”

사용자가 여기에 속아 새로운 설정을 설치 및 적용하면 피싱 사이트가 자동으로 웹 브라우저를 통해 로딩된다. 그런 후 장비의 정보가 수집되고, 공격자들에게 전송된다.

그렇다면 안드로이드 사용자들은 안전할까? “그렇지 않습니다. 로밍 맨티스 공격자들은 라우터들을 침해해 DNS 설정을 자기들 마음대로 변경시키고 있기도 하거든요. 이를 통해 엑스로더(XLoader) 혹은 모크하오(MoqHao)라고 알려진 멀웨어들을 안드로이드에 퍼트리고 있습니다.”

악성 DNS 변경자의 URL 요청은 라우터 DNS 설정을 침해하는 데에 사용된다. 그러나 이 공격이 성공하려면 몇 가지 조건이 성립해야만 한다.
1) 라우터의 제어판에 인증 단계가 없어야 한다.
2) 장비에 라우터 패널을 위한 관리자 세션이 있어야 한다.
3) 라우터 사용자 이름과 비밀번호가 간단하거나 디폴트여야 한다.

조건이 세 개나 돼서 공격이 성립되지 않을 것 같지만, 카스퍼스키에 의하면 이미 수백 대의 라우터들이 침해된 상태라고 한다. “이 라우터들 전부가 가짜 DNS IP 주소들과 연결되어 있습니다.”

로밍 맨티스 캠페인은 작년에 이어 올해도 진행 중이다. “그러나 작년에는 DNS를 조작한 공격이 주를 이뤘고, 올해는 여기에 악성 모바일 설정파일 설치 기법이 더해졌습니다. 그것이 가장 큰 차이점입니다. 맨티스 공격자들의 입장에서는 훨씬 더 성공률이 높은 방법을 찾아낸 것이고, 사용자와 방어자 입장에서는 더 큰 위협이 된 것입니다.”

사용자들 입장에서는 신뢰할 수 없는 페이지에서 설정 조작을 허용하거나 하지 말고, 라우터의 비밀번호를 어렵게 바꾸는 것이 지금으로서는 최선의 방어책이다.

3줄 요약
1. 로밍 맨티스라는 대규모 공격 캠페인, 아직까지도 현재진행형.
2. 과거에는 DNS를 조작하는 것이 주요 기법, 올해부터는 모바일 환경 설정 조작이 추가됨.
3. iOS 사용자들은 가짜 페이지로 유도해 공격하고, 안드로이드 사용자들은 라우터 침해해 공격.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>