최근 스마트폰을 이용하여 다음(Daum, m.daum.net), 네이버(Naver, m.naver.com) 포털 사이트에 접속할 경우 "현재 방문하신 홈페이지는 네이버를 사칭한 변조사이트입니다. 확인버튼을 누르시고 네이버앱설치 후 방문해 주시기바랍니다."라는 메시지 창이 생성되는 문제가 확인되고 있습니다.
해당 메시지 창에서 주목할 부분은 ① 다음(Daum) 모바일 페이지에 접속하여도 네이버 사칭 변조 사이트라는 메시지를 표시하는 점 ② 연결된 주소가 "m.daum.net/m.html", "m.naver.com/m.html" URL 주소값을 가진다는 점입니다.
이런 점을 고려한다면 해당 메시지 창은 포털 사이트에서 제공하는 정상적인 메시지가 아니라 사용자가 접속한 다음(Daum), 네이버(Naver) 웹 사이트는 파밍(Pharming) 사이트로 유추할 수 있습니다.
위와 같은 문제가 발생하는 원인으로는 인터넷 접속을 위해 사용하는 유무선 공유기 취약점을 이용하여 DNS 서버 주소가 특정 IP 주소로 변경되어 발생하는 것으로 알려져 있습니다.
이미 공유기 취약점을 이용하여 PC, 모바일을 통해 네이버(Naver) 포털 사이트 접속시 "악성어플 치료서비스" 메시지 창을 생성하여 악성앱 설치를 유도하는 사례가 보고된 상태이며, 이번의 네이버 사칭 변조 사이트 관련 메시지 창은 변형된 공격이라고 할 수 있습니다.
실제 네이버 사칭 변조 사이트 메시지 창의 "확인" 버튼을 클릭할 경우에는 특정 IP 서버(126.26.55.248)에서 네이버(Naver) 앱으로 위장한 악성앱(NAVERV5.4.1.apk)을 다운로드하여 설치를 유도하는 동작을 확인할 수 있습니다.
참고로 네이버(Naver)에서 공식적으로 제공하는 네이버(Naver)앱은 "네이버 앱스토어" 앱을 통해 "Naver N스토어"에서 설치하거나 "Google Play 스토어"와 같은 신뢰할 수 있는 방식이 아닌 경우에는 절대로 다운로드 및 실행하는 일이 없도록 주의하시기 바랍니다.
그렇다면 최근 대유행하는 공유기 취약점을 이용한 파밍(Pharming) 사이트 연결 방식의 원인과 해결 방법에 대해 자세히 살펴보도록 하겠습니다.
국내에서 발생하는 공유기 취약점을 이용한 DNS 서버 주소 변조를 통한 파밍(Pharming) 사이트 연결의 목적은 안드로이드(Android) 악성앱 설치, PC 환경에서의 "Shenzhen Hua'nan Xingfa Electronic Equipment Firm" ActiveX를 이용한 악성코드 설치, 금융감독원 / yessign 금융결제원 전자인증센터 메시지 창 생성을 이용한 가짜 은행 및 증권사 연결을 통한 금융 정보 수집이라고 요약할 수 있습니다.
그러므로 유무선 공유기의 Wi-Fi 환경으로 인터넷 접속을 하는 사용자 중 위와 같은 파밍(Pharming) 사이트 연결 문제가 발생하는 경우에는 보안 조치를 반드시 수행하여 정보 유출 및 금전적 피해를 당하지 않도록 주의하시기 바랍니다.(※ 다양한 유무선 공유기 제품 환경으로 인하여 ipTIME 유무선 공유기를 기준으로 작성하였으며, 관련 정보는 제작사 웹 사이트에서 제공하는 메뉴얼을 통해 확인하시기 바랍니다.)
일반적으로 유무선 공유기의 관리자 메뉴로 접근하기 위해서는 "명령 프롬프트"를 실행하여 "ipconfig" 명령어를 입력하여 표시된 "이더넷 어댑터 로컬 영역 연결" 항목의 "기본 게이트웨어"에 표시된 IP 주소를 웹 브라우저 주소 표시줄에 입력하시면 됩니다.
관리자 메뉴는 기본적으로 유무선 공유기 초기 로그인 정보가 존재할 수 있으므로 각 제조사의 초기 정보를 확인해 보시기 바랍니다.
■ 유무선 공유기 초기화
공유기 취약점을 통한 DNS 서버 주소가 변조되어 파밍(Pharming) 사이트로 연결되는 경우에는 유무선 공유기 기기의 뒷면(선 연결 부위)에 위치한 리셋(Reset) 버튼을 10초 가량 눌러서 모든 설정을 초기화 하시기 바랍니다.
일부 유무선 공유기의 경우에는 관리자 메뉴의 설정 초기화 기능을 제공하고 있으므로 참고하시기 바랍니다.
■ 펌웨어 업그레이드
사용자 PC에 설치한 소프트웨어의 경우에도 보안 취약점으로 인한 문제 해결을 위해 보안 패치를 제공하듯이, 유무선 공유기는 비정기적으로 성능, 버그(Bug), 보안 취약점 문제 수정을 위한 최신 펌웨어를 제공하고 있습니다.
공유기 관리자 메뉴 중 "펌웨어 업그레이드" 항목을 찾아 최신 펌웨어를 사용하고 있는지 업그레이드 체크를 통해 반드시 확인하시기 바라며, 차후에도 새로운 펌웨어가 출시될 경우에는 놓치지 마시고 업데이트하시기 바랍니다.
■ 공유기 DNS 서버 설정
기본적으로 공유기 DNS 서버는 기본 DNS 서버와 보조 DNS 서버 주소가 사용자가 계약한 인터넷 통신사에 따라 다르며, KT의 경우에는 "기본 DNS 서버 : 168.126.63.1", "보조 DNS 서버 : 168.126.63.2"로 고정되어 있습니다.
그런데 공유기 취약점을 이용한 DNS 서버 주소가 변경된 경우에는 "수동으로 공유기의 DNS 서버 설정" 체크 박스에 체크된 상태로 기본 DNS 서버와 보조 DNS 서버 주소가 기본값이 아닌 특정 IP 주소가 변경되어 있습니다.
그러므로 기본(보조) DNS 서버 주소가 임의의 IP 주소로 변경된 경우에는 "수동으로 공유기의 DNS 서버 설정" 체크 박스를 해제한 후 인터넷 통신사의 DNS 서버 주소로 변경하시기 바랍니다.(※ 체크 박스를 해제할 경우 자동으로 기본(보조) DNS 서버 기본값으로 복구가 될 것으로 판단됩니다.)
■ Wi-Fi 무선 보안 설정(2.4GHz/5GHz)
유무선 공유기를 통해 모바일을 통한 인터넷을 연결할 경우에는 Wi-Fi 환경으로 접속이 이루어지며 반드시 무선 보안 설정을 통해 외부에서 네트워크 암호를 입력하지 못하면 접속하지 못하도록 설정해야 합니다.
설정을 위해서는 2.4GHz, 5GHz 모두 최소 8자리 이상의 네트워크 암호를 설정하시기 바라며, 암호는 "영문+숫자+특수 문자"를 혼합하여 구성하시기 바랍니다. 또한 인증 및 암호화 설정은 공유기에서 권장하는 값으로 설정하시기 바랍니다.
■ 외부 접속 보안 : 원격 관리 포트 사용 해제
공유기 취약점을 통한 DNS 서버 주소를 변조하는 경우 외부에서 접속을 허용하는 경우에 발생이 가능하므로, 공유기 접속 관리 메뉴에서 외부 접속을 할 수 없도록 "원격 관리 포트 사용" 체크 박스를 해제하시기 바랍니다.
특히 사용자가 설정한 IP가 아닌 임의의 IP 주소가 추가되어 원격 관리 포트를 사용하고 있다면 해당 IP 주소를 삭제하시기 바랍니다.
또한 "원격 지원" 설정이 실행되도록 설정된 공유기 환경에서는 "원격 지원"을 사용할 수 없도록 설정하시기 바라며, 만약 원격 지원 기능을 사용하기 위해서는 공유기 관리자 메뉴 접속시 비밀번호를 입력하도록 설정하시기 바랍니다.
■ 공유기 관리자 보안 설정
유무선 공유기의 설정을 변경하기 위해 접속시 로그인 정보를 입력하도록 보안 설정을 통해 외부에서 임의로 설정을 수정하지 못하도록 하시기 바랍니다.
로그인 보안 설정을 위해서는 "관리자 설정" 메뉴에서 Wi-Fi 계정에서 사용하는 계정 이름(로그인 이름)과 로그인 암호(최소 8자리 이상의 영문+숫자+특수 문자)를 설정하시기 바랍니다.
위와 같은 일련의 유무선 공유기 보안 설정과 펌웨어 업그레이드를 통해 외부에서 사용자 몰래 관리자 메뉴에 접속하여 DNS 서버 주소를 변경하여 파밍(Pharming) 사이트로 접속하도록 하는 행위를 예방할 수 있습니다.
만약 모든 설정 완료 후에도 파밍(Pharming) 사이트 연결이 발생한다면 웹 브라우저의 쿠키, 캐쉬 파일을 모두 삭제한 후에 재접속을 해보시기 바랍니다.
Update : "m.maver.com의 페이지 내용" 변경 (2014.6.4)
최근 보안에 취약한 유무선 공유기 사용자가 Wi-Fi 인터넷 환경으로 스마트폰을 통해 네이버(Naver) 포털 사이트 접속시 "웹브라우저를 업데이트후 사용이 가능하십니다 확인버튼을 클릭하시고 설치하시면 됩니다."라는 변경된 메시지 창을 생성하여 네이버앱으로 위장한 악성앱을 설치하는 사례가 확인되고 있습니다.
다운로드되는 악성앱은 NAVERV5.apk 파일명을 가진 것으로 추정되며, 다운로드된 악성앱을 설치할 경우 주소록 정보 유출, 스미싱 메시지 수신 등 개인정보 유출과 금전적 피해를 유발할 수 있을 것으로 판단되므로 설치하는 일이 없도록 주의하시기 바랍니다.
Update : "m.maver.com의 페이지 내용" 변경 (2014.7.12)
최근 확인된 새로운 메시지 창의 경우에는 네이버(Naver) 접속시 "위변조된 주소입니다. 최신버전으로 업데이트 후 사용이 가능 하십니다. 확인버튼을 클릭하시고 설치하여 주십시요."라는 메시지 창을 생성하여 악성앱 설치를 유도하고 있는 것으로 확인되고 있습니다.
그러므로 위와 같은 메시지 창이 생성되는 경우에는 절대로 "확인" 버튼을 클릭하여 다운로드되는 악성앱을 설치하지 마시고 삭제하시기 바라며 공유기 설정을 변경하여 문제를 해결하시기 바랍니다.
Update : 'http://m.naver.com' 페이지 내용 추가 (2014.7.14)
공유기 DNS 주소 변경을 통해 사용자가 모바일을 이용하여 네이버(Naver) 접속시 "네이버를 사칭한 변조사이트입니다. 확인버튼을 누르시고 최신버전으로 업데이트하신후 이용해주십시요." 메시지 창을 생성하여 "확인" 버튼을 클릭시 악성앱을 다운로드하여 설치하도록 유도하고 있으므로 주의하시기 바랍니다.
Update : "m.daum.net의 페이지 내용" 추가 (2014.7.15)
보안에 문제가 있는 유무선 공유기를 통해 모바일을 이용하여 다음(Daum) 웹 사이트 접속시 "다음사이트를 사칭한 변조사이트입니다. 확인버튼을 누르시고 최신버전으로 업데이트하신후 이용해주십시요." 메시지 창 생성을 통해 "확인" 버튼을 클릭할 경우 악성앱 다운로드를 통해 설치를 유도하므로 주의하시기 바랍니다.
특히 가짜 포털 사이트 접속을 위해 변경된 DNS 주소가 연결되지 않을 경우에는 모바일 및 PC를 통해 인터넷 접속이 이루어지지 않는 증상이 발생할 수 있습니다.
Update : "http://m.naver.com 페이지 내용" 추가 (2014.7.19)
Update : "http://m.naver.com 페이지 내용" 추가 (2014.8.7)
유무선 공유기의 DNS 주소 변조를 통해 모바일을 이용하여 네이버(Naver) 접속시 "최신버전으로 업데이트후 정상이용이가능하십니다. 업데이트 하시겠습니까?" 메시지 창을 생성하여 악성앱 설치를 유도하고 있는 것을 확인하였습니다.
위와 같은 유무선 공유기 DNS 변조 공격에 대해 안랩(AhnLab) 보안 업체에서는 공격 시나리오에 따른 분석 내용을 공개하였으므로 참고하시기 바랍니다.
Update : 네이버(Naver) 접속시 알림창 생성 추가 (2014.8.20)
모바일을 이용하여 네이버(Naver) 포털 사이트 접속시 알림창을 생성하여 "보안업데이트 버전이 출시되였습니다. 안전한 인터넷방문을 하시려면 업데이트후 이용해주십시오." 메시지를 통해 "확인" 버튼을 클릭시 악성앱 설치를 유도하는 것을 확인하였습니다.