본문 바로가기

벌새::Security

네이버 회원 아이디 보호 관련 이슈를 이용한 공유기 DNS 변조 주의 (2014.10.21)

최근 유무선 공유기의 보안 설정 취약점을 이용하여 DNS 주소를 변조하는 공격이 새로운 형태로 출현한 부분이 확인되어 정보를 공유해 드립니다.

 

이미 2014년 4월경부터 활발하게 유무선 공유기 사용자를 대상으로 한 DNS 변조를 통해 네이버(Naver), 다음(Daum) 포털 사이트 접속시 URL 주소는 정상이지만 가짜 포털 사이트로 연결하여 악성앱(APK) 다운로드를 통한 설치를 유도하는 사례가 지속적으로 발견되고 있었습니다.

그런데 최근 유무선 공유기를 통해 모바일 인터넷을 이용하는 과정에서 네이버(Naver) 포털 사이트 접속시 "id.naver.com/form.php" URL 주소로 연결되어 "회원님의 아이디를 보호하고 있습니다. 회원님의 아이디가 평소 회원님이 사용하지 않거나 보안상 안전하지 않은 환경에서 로그인되었습니다."라는 메시지를 통해 IP 주소가 포함된 가짜 로그인 내역까지 제시하면서 "보호조치 해제" 버튼을 클릭하도록 유도하는 화면이 생성됩니다.(※ 참고로 연결된 URL 주소는 실제 존재하지 않는 주소로 판단됩니다.)

사용자가 허위 정보에 속아 비밀번호 변경을 위해 아이디 보호조치 해제 버튼을 클릭하면 본인 확인을 위한 "이름, 성별, 생년월일, 휴대폰 번호"를 입력하도록 양식을 제공하여 개인정보를 수집하고 있습니다.

개인정보 입력 후 확인 버튼을 클릭하면 "보안업데이트 버전이 출시되였습니다. 안전한 인터넷방문을 하시려면 업데이트후 이용해주십시오."라는 알림창이 생성됩니다.

이를 통해 NAVERV23.0.12.apk 파일명으로 제작된 가짜 네이버앱으로 추정되는 악성앱(APK) 다운로드가 이루어지는 구조입니다.

 

정상적인 네이버앱 다운로드는 네이버 앱스토어, Google Play와 같은 배포지를 통해 설치가 이루어지므로 방문하지 않은 사이트를 통해 APK 파일이 자동으로 다운로드되는 행위는 악성앱 설치 방식이라고 판단하시면 됩니다.

 

그러므로 모바일을 이용하여 인터넷 이용시 위와 같은 허위 정보를 기반으로 APK 파일 다운로드가 이루어지는 사용자는 현재 접속한 유무선 공유기 또는 무료 와이파이(Wi-Fi)의 DNS 주소가 변조되어 발생하고 있는 것으로 판단하여 반드시 보안 설정 권고문에 따라 보안 설정을 수정하시고 인터넷을 이용하시기 바랍니다.

 

특히 다운로드되는 악성앱 설치를 목적으로 한 APK 파일은 절대로 실행하여 설치하는 일이 없도록 하시기 바라며, 만약 설치가 되었다면 설치시 제시된 이름을 기반으로 관련 애플리케이션을 삭제하시거나 모바일 기기를 공장 초기화하여 추가적인 피해를 예방하시기 바랍니다.

  • 비밀댓글입니다

  • 저건 무단 상표 도용으로 고소 가능한가요?

  • 박현선 2014.10.28 15:41 댓글주소 수정/삭제 댓글쓰기

    저는 저것을 설치해서 카톡계정을 해킹당했었네요..

    공유기문제는 어떻게 해결할 수 있을까요?

    • http://www.krcert.or.kr/kor/data/secNoticeView.jsp?p_bulletin_writing_sequence=21404

      공유기 펌웨어 최신 버전 설정 및 보안 설정을 통해 외부에서 접근할 수 없도록 세팅을 수정하시기 바랍니다.

  • 제가오늘 똑같이 당했는데요..
    다운로드되고 설치는 안눌렀는데 그래도 먼가 찜찜해서 서비스센터에서 공장초기화 했거든요..
    그럼 될나요.?? 전화번호나 이름은 어쩔수 없이 유출이네요 ㅠㅠ

    • 다운로드 전에 양식에 입력한 개인정보는 당연히 유출되었을 것으로 보이며, apk 파일을 단순히 다운로드한 것으로는 감염이 아니므로 apk 파일만 삭제하시면 됩니다.ㅠㅠ

  • 비밀댓글입니다

    • 이미 유출된 개인정보는 주워담을 수 없습니다. 공유기를 사용하여 인터넷을 이용하실 때에는 공유기 보안 설정에 특별히 신경쓰시기 바랍니다.ㅠㅠ

  • 제가 이증상때문에 공장초기화까지 시켰는데도 이렇더라구요~님블로그와서 보니 공유기문제였군요ㅠㅠ
    두가지만 여쭤도 될까요?
    이런경우 데스크탑이나 노트북은 해킹(?)의 위험에서 안전한가요?
    또한 공장초기화 후에도 이런일이 생겼으니 폰을다시 공장초기화해야겠죠?ㅠㅠ
    이쪽으론 문외한이라~대답부탁드립니다. 진짜 이증상때메 스트레스받아서 미칠것같아요ㅠㅠ

    • 공유기를 PC와 모바일 양쪽의 인터넷 연결에 문제를 유발합니다.

      그런 문제로 인해 모바일에서는 이글에서 언급한 것과 같은 악의적 동작이 있으며, PC 환경에서는 예를 들어 네이버 접속시 인터넷뱅킹 관련 허위 경고창을 생성하여 파밍 사이트로 납치를 유도할 수도 있습니다.

      공유기의 공장 초기화도 중요하지만 초기화 후에는 반드시 공유기 펌웨어 최신 버전 업데이트, 공유기 환경 설정에서 공유기 비밀번호, 외부 공유 연결 차단 등의 추가적인 보안 설정을 하지 않으면 또 다시 당할 수 있습니다.

      http://www.krcert.or.kr/kor/data/secNoticeView.jsp?p_bulletin_writing_sequence=21404

      그러므로 링크에서 안내하는 사용하시는 공유기 업체에서 제공하는 보안 설정 내용을 잘 확인하여 보안 설정을 꼼꼼하게 하시고 사용하시기 바랍니다.

  • 비밀댓글입니다

    • 게시글을 잘 읽어보시면 공유기 보안 설정을 베대로 못해서 발생한다고 적었습니다. 그러므로 공유기 펌웨어 업데이트와 보안 설정을 안내에 따라 잘 설정하시기 바랍니다. 폰 초기화나 앱 삭제는 아무런 도움이 안됩니다.

  • 제가 첨에 몰라서 저기에 개인정보를 넣고 확인을 눌렀습니다.근데 갑자기 크롬을 설치하는 팝업이 떠서 확인을 눌렀는데 올레가 스미싱이라면서 차단싸이트가 떳고 앱을 다운받지 않았습니다.개인정보유출안됬겠죠?

    • 그리고 인터넷에서 쳐서 DNS 서버초기화했습니다

    • 개인정보를 입력하고 확인 버튼을 눌렀다면 입력한 정보는 유출되었습니다. 단지 apk 파일을 다운로드하는 동작에서 차단이 이루어져서 스마트폰 감염은 이루어지지 않았습니다.

      DNS 서버를 초기화하는 것도 중요하지만 공유기 비밀번호를 복잡하게 거시고, 공유기 펌웨어가 최신 버전인지 잘 확인하시기 바랍니다.

  • 허허......저도 입력은 했는데...
    다행이 올레스미싱차단으로 그 다음으로 넘어가진 않았지만.저는 인터넷 설정초기화하니 사라지던데요??

  • 검색하다가 블로그글 보고 질문드려요. 오늘 새벽에 이상해서 입력은 안 했는데 핸드폰 캐시,기록지우고 와이파이에서 저희집 공유기지웠다가 4g 연결하니까 네이버메인화면 나옵니다. 이제는 와이파이연결해도 나오는데 공유기재설정해야 할까요?공유기 비번 걸어놨는데도 해킹되네요. 오래되서 그런지. 새로 사야할지도 고민이고. 그리고 전 입력안했는데 저희 아빠가 입력하셨대요. 그런데 안 눌려져서 프로그램 입력하라는 창이 안 나왔다는데 괜찮을까요? 넘 많이 물어보네요.ㅠㅠ 답변 부틱드려요.

    • 공유기 펌웨어 버전을 확인하여 최신 버전이 아닌 경우 (1) 공유기 초기화 (2) 펌웨어 업데이트 (3) 와이파이 비밀번호 설정(최소 8자리 이상 / 영문+숫자+특수) (4) 공유기 환경 관리용 비밀번호 설정 (5) 공유기 설정값 중 원격 관리 포트 사용 체크 해제와 같은 보안 설정을 모두 하시기 바랍니다.

      그 후에도 문제가 있다면 스마트폰 웹 브라우저의 캐쉬, 쿠키 파일을 모두 제거하시기 바랍니다.

    • BlogIcon kjy 2014.11.19 14:57 댓글주소 수정/삭제

      지금 공유기는 안 건렸는데 캐시파일 지워서인지 스마트폰에서는 정상적으로 되요. 빠르고 자세한 답변 정말 김사합니다. ㅜㅜ

  • 저 정말 미쳐버릴것같아요. 공유기 초기화도하고 비밀번호도 바꿨는데 계속 뜹니다ㅠ 전 아이폰5s 쓰고 있구요. 설치한 어플도 없는데 왜 안없어질까요? 이제 네이버는 괜찮은데 다음들어가니 똑같이 나오네요. 공유기 스미싱이면 공유기믄 초기화하면 되는 거 아닌가요?ㅠㅠ 도와주세요ㅠㅠ

    • 공유기 펌웨어가 최신 버전인지 확인하여 상위 버전이 존재할 경우 반드시 업데이트 하시기 바랍니다.

      그리고 비밀번호는 영문+숫자+특수문자로 길게 지정하시기 바라며, 원격으로 접근할 수 없도록 옵션에서 체크해제할 값을 찾아 풀어주시기 바랍니다.

      단순히 공유기 초기화를 해도 추가적인 보안 세팅을 하지 않는다면 매번 동일하게 당할 수 있습니다.

      원격을 원하신다면 http://cafe.naver.com/malzero 보안카페 채팅방에서 문의해 주시기 바랍니다.

  • 아.....ㅜ같은일을겪은사람들이너무나많네요..왜이상한촉은항상늦은후에온걸까요ㅜ정보적고,주민번호까지썼던가??기억두안나네요..정보까지적고,그다음단계로는안넘어갔는데,어떤조치를취해야하나요.공유기비번바꾸려고애를썼는데도,공유기기존비번이안맞다하고ㅜ아....왜이럴까요ㅜ급한대로와이파이차단해놨는데..이미손쓸수없는지경까지갔을까요?낼공유기비번땜에as연결해봐야할것같네요ㅜ잠도안와요ㅡㅜ

    • 공유기 비번조차 모르는걸 봐서는 공유기 구매시 기본값으로 사용하고 계신 것으로 보이므로 공유기 업체에서 제공하는 비밀번호를 확인하여 환경 설정에 들어가서 보안 세팅을 하시기 바랍니다.

  • 헐..저는 저거 뜨길래 보호해제 눌렀는데 어케요ㅠㅠ 이름이랑 성별 핸드폰 번호는 안쳤는데 보안하라?해서 비번만 바꿨는데...

    • 정보 입력을 안하고 apk 파일이 다운로드되지 않았다면 아무런 문제는 없습니다.

      단지 공유기 해킹을 통한 포털 홈 페이지가 변조되었는지 아니면 실제 네이버 계정이 해킹되어서 정식으로 경고창이 떴는지는 추가로 확인해 보시기 바랍니다.

  • 공유기가 제 것이 아니라 초기화도 시킬 수 없는데 어떻게 해야 하나요ㅠㅠ? 집 주변에 뜨는 것이라... 그리고 휴대폰 공장초기화는 꼭 해야하는 건가요? 그 크롬 어쩌고 뜨는 어플 다운 받진 않았어요!

  • 원래는 와이파이를 사용하지 않았는데 오늘 잡히길래 인터넷을 접속했더니 그렇게 됐어요...ㅠㅠ 데이터로 접속해도 같은 것이 반복됩니다...ㅜㅜ

    • 와이파이에서 해당 증상이 발생하여 데이터 통신을 할 경우에는 웹 브라우저의 임시 파일(캐시)과 쿠키를 모두 삭제하시고 웹 브라우저를 사용하시기 바랍니다.

      그리고 공유기 보안 설정을 제대로 하시고 사용하시기 바랍니다.

  • 저는.. 그저께 부터 뜨길래.. 의심은 갓지만 그래도 이름 성별 생일 전화번호 주민등록번호 까지 다 치고 넘어갓는데 무슨 업데이트인가?.. 그걸 하라고 떠서 눌럿는데 갑자기 무슨 창이뜨면서 스미싱사이트주의 이게 뜨더라구여.. 저 이미 다 입력하고 햇는데..어떡해요...그리고 입력하고 다 햇는데도 보호조치 해체하라고 계속 떠요.. .......

    • 내용을 보니 유무선 공유기가 외부에서 설정을 변경하여 가짜 네이버 사이트로 연결되어 허위 정보를 기반으로 개인정보 입력을 유도한 후 추가적인 악성앱 다운로드를 시도한 것 같습니다.

      악성앱은 스미싱 차단이 떠서 실제로 다운로드가 이루어지지 않았지만 입력한 개인정보는 이미 유출되었으므로 회수할 방법이 없습니다.

      그러므로 현재 사용하시는 유무선 공유기 보안 설정을 http://www.krcert.or.kr/kor/data/secNoticeView.jsp?p_bulletin_writing_sequence=21404 내용을 참고하여 재설정하시기 바랍니다.

  • 비밀댓글입니다

    • 사용하시는 공유기 종류에 따라 조치 방법이 다소 상이합니다.

      http://www.krcert.or.kr/kor/data/secNoticeView.jsp?p_bulletin_writing_sequence=21404

      링크 내용을 참고하여 잘 확인해 보시기 바랍니다.ㅠㅠ

  • 흠 질문 하나만 드릴게요 모바일로만 접속이 되지 않고 있는 상태인데 풀방법이 폰초기화및 공유기 초기화 이건가요? 다른방법으로는 로그인이 안되는걸까요? 다운받은것도 없고 집과 자취집 외에 공유기로는 쓰지도 않았고 로그인 외엔 다 정상작동도 되고 다른 아이디로는 접속도 잘되네요

    • 질문하신 내용이 네이버에 특정 계정으로만 로그인이 안되고 다른 계정으로는 로그인이 가능하다는 말씀인가요?

      내용을 다소 이해하기 어렵습니다. 제가 쓴 말이 맞다면 이것은 공유기 문제가 아니라 해당 계정에 차단되었거나 뭔가 이유가 있어 보입니다.

      이런 부분은 해당 포털 사이트 고객센터에 문의해 보시기 바랍니다.

  • 우와 2015.01.04 07:53 댓글주소 수정/삭제 댓글쓰기

    에구구... 저도 데이터,공유기 둘다 이런현상이 발생했었는데 덕분에 공유기 초기화시키고 보안도 단단히 걸어놨네요. 감사드립니다^^ 뭣도모르고 이름 번호 주민까지 입력했는데 이미 유출은 됐네요...ㅜㅜㅜ 그래도 이제야 알아서 다행...ㅎㅎㅎ감사합니다