라우터 공격하는 GhostDNS 악성코드

DNS 하이재킹

라우터(공유기)를 감염시켜 DNS 서버 설정을 해커의 서버로 바꾸는 악성코드가 발견됐다. 고스트DNS라고 불리며 이미 10만 대 이상의 라우터를 감염시켰다. 취약한 암호를 가진 라우터를 탐색하여 브루트 포스 공격으로 침투한다.

DNS 서버를 악의적으로 설정하면, 사용자가 입력한 주소가 아닌 엉뚱한 사이트로 연결된다. 이런 해킹을 DNS 하이재킹이라고 하는데 오래된 수법이다. 다만 근래 라우터를 겨냥한 공격이 급증하는 추세이다.

GhostDNS는 주로 은행 사이트로 가는 트래픽을 가짜 사이트로 연결시켜 로그인 정보를 훔치고 있다. 현재 공격의 88%는 브라질의 은행에 집중되어 있다.

파밍(pharming) 대책 적용

DNS 하이재킹에 대비하려면 우선 라우터를 잘 지켜야 한다. 공유기 보안에서 가장 중요한 것은 강력한 암호를 설정하는 것과 불필요한 원격관리 기능을 끄는 것이다.

내 공유기를 잘 지키더라도 외부에서 인터넷을 쓰다 보면 취약한 네트워크를 이용하게 될 수도 있다. 따라서 가짜 사이트를 판별할 수 있어야 한다. 이 점에 대해서는 피싱과 파밍에 대한 대책이 그대로 적용될 수 있다.

SSL 인증서를 잘 살펴야

DNS 하이재킹을 포함한 파밍은 주소창에 표시된 주소만으로는 판별할 수가 없다. 주소 체계 자체가 교란됐기 때문에 주소창의 주소 자체가 가짜다. 따라서 HTTPS가 적용된 사이트의 인증서에 표시된 주소를 봐야, 현재 보고 있는 사이트의 실제 주소를 알 수 있다. HTTP 사이트는 가짜를 판별할 방법이 없다.

인증서 상의 주소가 정확한지, 인증서가 오류 메시지를 나타내지는 않는지를 살펴봄으로써 진위를 판별할 수 있다. 실제 피해 사례를 보면, 피해자들은 인증서 오류를 봤지만 무시해 버렸다.


관련 자료
  1. 피싱(phishing) 사기 피하는 방법
  2. 공유기 해킹하여 DNS 하이재킹하는 Roaming Mantis 악성코드
  3. 와이파이(Wi-Fi) 보안 설정
  4. 하드웨어 지갑 트레조 노린 피싱 공격
  5. 가상화폐지갑 MyEtherWallet 사용자 피싱(파밍) 주의보

참고 자료

댓글

이 블로그의 인기 게시물

엑셀 필터 상태에서 복사와 잘라내기

가정에서도 망 분리를 해보자

잉크젯 프린터 전원은 항상 켜 놓아야 좋다