사진제공 : 이슈메이커스랩, 레드얼럿

국내에서 판매되고 있는 인터넷공유기에 제로데이(0day) 취약점이 가득한 것으로 조사됐다. 제로데이 취약점은 보안업데이트가 발표되지 않은 상황에서의 취약점을 뜻한다.


이러한 제로데이 취약점은 자동화된 공격도구에 적용되며, 공격도구는 인터넷공유기를 해킹해 파밍 등의 2차 공격을 실시하도록 탈바꿈시킨다.

22일 이슈메이커스랩과 NSHC 레드얼럿팀은 최근 인터넷공유기를 해킹하는 공격도구를 분석한 결과를 발표했다.

공격도구는 중국어로 돼 있으며, 주요 기능은 ▲공유기 암호 임의 변경 ▲네트워크 정보 변경 ▲사용자 계정 정보 변경 등이다.

공격 대상은 국내산 공유기 22종(에어벤드, 엑슬러, 애니게이트, LG유플러스 공유기, 엘럭시온, 하이온넷, 아이피타임, 티브로드 공유기, LG상사 엑슬러, 맥시오, 넥스트, 네트원, 오비트, 파테크, SDT정보기술, 스마트게이트, 스파이어, 시리우스, 유니콘, 지오, 위보, 네티스)으로 국내 사용자들을 노린 도구임이 분명해 보인다.
사용자 삽입 이미지

사진제공 : 이슈메이커스랩, 레드얼럿


공격도구는 공유기 관리 페이지의 HTML 소스에서 특정 패턴을 검색해 공유기의 제품 종류를 확인한다. 가령 아이피타임의 관리 페이지는 ‘login.cgi’로 끝나게 되는데, 이 경우 POST 메소드를 이용해 DNS와 DDNS, TCP/IP 등에 접근하게 된다.

POST 메소드는 HTTP 명령 중 하나로 클라이언트에서 서버로 데이터를 회신할 때 쓰인다. HTTP 메소드를 POST로 변경하면 인증 우회가 가능해지는데, 이 경우 관리자 계정을 알지 못해도 관리 페이지로 접근할 수 있게 된다.

레드얼럿팀은 “공유기에 잠재적으로 존재하는 보안위협이 있을 것으로 추정된다”며 “공유기 제조사들은 제품 출고시 기본적으로 관리자 페이지 인증 활성화와 원격관리기능 보안성 강화 등의 조치를 해야한다”고 설명했다.

이어 “사용자들도 관리자 페이지와 무선 접속시 인증을 사용하고, 원격 관리 기능을 되도록 사용하지 않길 바란다”고 당부했다.

아울러 공유기 제조사 홈페이지에서 보안문제를 해결한 펌웨어를 내려받아 적용하는 것도 필요하다.
2015/01/22 15:34 2015/01/22 15:34
via SK브로드밴드 블로그

올해 초 인터넷 공유기의 취약점을 악용해 사용자들을 피싱 사이트로 유도하고, 파밍 애플리케이션을 설치하도록 하는 수법이 등장한 이후 지속적인 피해 사례가 발견돼 주의가 필요하다.

이 수법은 공격자가 관리자 암호가 설정돼 있지 않은 공유기에 접속해 공유기의 DNS 주소를 특정 IP주소로 변경하는 방식이다.

DNS 주소가 변경될 경우 주소를 제대로 입력하더라도 공격자가 의도한 웹사이트로 이동이 된다. 마이크로소프트(MS) 윈도에서 호스트파일을 변경하는 것과 같은 효과를 볼 수 있다.


PC방이나 카페 등에서 마케팅을 위해 사용되던 이 방법이 이제는 파밍 공격을 위한 획기적인 방법으로 떠오르고 있는 것이다.

공격자는 공개돼 있는 공유기에 접속한 뒤 설정을 변경한다. 이들은 효과를 극대화하기 위해 카페나 도서관 등 사용자가 몰리는 장소에 설치된 공유기를 주된 타깃으로 삼고 있는 것으로 보이며, 대학가 등 유동인구가 많은 지역에서도 피해사례가 보고되고 있다.

공유기 해킹에 대한 피해는 크게 두가지로 나뉘어진다. 먼저 PC의 경우 파밍용 홈페이지에 접속을 유도한 뒤 악성코드를 설치, 개인정보와 금융정보를 탈취하는 방식이다.

특정 사이트에 접속만 하더라도 악성코드를 내려받을 수 있는 ‘드라이브 바이 다운로드(Drive by Download)’ 수법이 악용된다.

스마트폰도 자유롭지 못하다. 특히 서드파티 애플리케이션 설치가 자유로운 안드로이드폰이 피해를 입을 수 있다.
 스마트폰을 통해 네이버, 다음과 같은 포털사이트에 접속하면 ‘네이버를 사칭한 변조사이트’라는 메시지를 노출하며, 이를 차단할 수 있는 앱을 설치하라고 요구한다.

즐겨찾기를 통해 접속하거나 사용자가 직접 주소를 입력해서 접속하더라도 DNS 서버가 변경된 이후이기 때문에 원치않는 사이트로 접속되는 것이다.

지난 5월에는 네이버와 다음 등 포털사 앱의 업데이트를 가장한 악성 앱이 배포됐으나 최근에는 한국인터넷진흥원(KISA)이나 경찰청을 사칭한 악성 앱도 발견되고 있다.

이 공격은  팝업의 형태로 메시지가 노출되기 때문에 많은 사용자들이 이를 설치하는 경향이 높은 것으로 알려졌다.

사용자가 악성 앱을 받아 설치할 경우 문자메시지, 주소록 등의 정보가 유출되며, 또 다른 악성 앱이 추가로 설치 될 가능성도 높아져 피해가 확산될 수 있다.


이와 같은 메시지를 확인하면 취소를 선택하고 해당 와이파이를 사용하지 않는 것이 좋다. 이미 확인을 통해 내려 받았다면 신속히 삭제해야 한다.

공유기 DNS 주소가 변경된 상황이라면 노트북 등을 사용해 포털사이트에 접속할 경우에도 동일한 상황이 발생될 수 있다. 공격자는 웹브라우저의 헤더값을 분석한 뒤 PC와 모바일을 구분하는 식으로 공격한다는 사례도 보고된 바 있다.

이러한 문제를 근본적으로 해결하기 위해서는 공유기 설정을 변경해야 한다. 엔드포인트에서 DNS 서버가 변경된 공유기를 쓰는 한, 공격자의 손바닥 위에 있기 때문이다.

설정을 변경하기 위해서는 공유기의 관리자 페이지에 접속한 뒤 변경된 DNS 서버 주소를 원상태로 복구해야 하며 관리자 암호 등를 설정해 외부의 접근을 사전에 차단해야 한다.

KT, SK브로드밴드 등 국내 인터넷서비스업체들은 DNS 주소를 자동으로 설정해주므로 수동으로 돼 있는 체크박스를 변경해주면 해결된다.

자세한 해결 방법은 자신이 사용하고 있는 공유기의 제조사를 확인한 뒤 아래 링크를 통해 알아볼 수 있다.

- 네티스코리아

http://www.netiskorea.com/atboard_view.php?grp1=news&grp2=notice&uid=8156


- 넷기어
http://www.netgear-support.co.kr/Support/at_SingleBoard/support_faq_list.asp -> 각 공유기 모델별 “ 공유기 암호 및 원격관리 매뉴얼” 참고


- 넷탑씨앤씨(NTP)
http://www.nettop.co.kr/ -> 공지사항 -> “공유기를 이용한 파밍 공격 대처 요령” 참고


- 다보링크
http://www.davolink.co.kr/board/board.asp?chrBType=NOTICE&pageMode=READ&bIndex=5914&menuSeq=22


- 디링크
http://mydlink.co.kr/2013/notice/notice_detail.php?no=63&code=mydlink_notice_2009


- 디지털존(WeVo)
http://www.iwevo.co.kr/board.php?BID=board01&GID=root&mode=view&adminmode=&UID=55&CURRENT_PAGE=1&BOARD_NO=37&SEARCHTITLE=&searchkeyword=&category=


- 블레스정보통신(ZIO)
http://myzio.net/zio/pds/notice_security.pdf


- 애니게이트앤씨(ANYGATE)
http://www.anygate.co.kr/pub/bbs/content.asp?table=bbs_01&multi=bbs_notice&idx=529&visited=1425&page=1&startpage=1&search_1=&keyword_1=&list_pagesize=20&list_file=/pub/bbs/default.asp


- 유니콘
http://www.eunicorn.co.kr/kimsboard7/bbs..php?table=unicorn_faq&query=view&uid=1036


- EFM(ipTIME)
http://www.iptime.co.kr/~iptime/bbs/view.php?id=faq_setup&page=1&ffid=&fsid=&dffid=&dfsid=&dftid=&sn1=&divpage=1&dis_comp=&sn=off&ss=on&sc=on&keyword=계정&select_arrange=headnum&desc=asc&dis_comp=&ng_value=&x_value=&no=583


- 이지넷유비쿼터스(NEXT)
http://www.ez-net.co.kr/new_2012/customer/userguide_view.php?cid=&sid=&goods=&cate=&q=&seq=75&PHPSESSID=b7cbd945f0fbf81cc44542f84c4a6d53


- 티피링크
http://www.tplink.com/kr/article/?faqid=666


- 파테크(Axler)
https://www.axler.co.kr/ -> 공지사항 -> “[공지]파밍사이트(금강원) 및 무선 보안 임의 설정 관련” 참고

(출처 : 한국인터넷진흥원 인터넷침해대응센터)
2014/07/28 08:27 2014/07/28 08:27