본문 바로가기

벌새::Security

공유기 DNS 서버 변경을 통한 "최신버전 smart touch 출시" 메시지창 주의 (2015.6.5)

여전히 보안 설정을 제대로 하지 않은 유무선 공유기를 이용한 인터넷 접속시 다양한 메시지 창을 생성하여 안드로이드(Android) 스마트폰을 감염시키는 악성앱 유포 행위가 지속적으로 발견되고 있습니다.

이에 따라 정부 차원에서 공유기 보안 강화 대책을 발표하였지만 관리가 부실한 공유기 일부는 단순히 공장 초기화를 반복하는 임시 대응 방식으로 악성앱 유포에 악용되고 있는게 현실입니다.

'h**p://98.126.52.114' 페이지 내용:

 

최신버전 smart touch 출시되었습니다. 업데이트후 이용하시기바랍니다.

최근에 확인된 새로운 메시지 창을 살펴보면 공유기 DNS 서버 주소 변경을 통해 포털 사이트 접속시 "최신버전 smart touch 출시" 관련 메시지창을 생성하여 악성앱 다운로드를 유발하고 있습니다.

위와 같은 메시지창을 통해 다운로드되는 악성 APK 파일을 사용자가 실행하여 설치를 진행할 경우 금융 정보 탈취 및 연락처에 등록된 다수의 사용자에게 스미싱(Smishing) 문자가 전송될 수 있습니다.

 

특히 해당 증상이 발생하는 공유기 사용자 중에서 공유기에 대한 공장 초기화만을 진행하고 문제를 해결하려는 잘못된 대응책은 악순환을 반복할 뿐이므로 공유기 관리 페이지(192.168.0.1)에 접속하여 다음과 같은 보안 절차에 따라 문제를 해결하시기 바랍니다.(※ 아래 내용은 ipTIME 공유기를 기준으로 작성하였습니다.)

 

1. 최신 펌웨어 업데이트

공유기 해킹을 통한 DNS 서버 변경 문제를 해결할 가장 핵심적인 대응책은 사용하는 공유기 기종에 대한 최신 펌웨어 업데이트이며, 만약 펌웨어 업데이트 이후에도 문제가 해결되지 않는다면 공유기 기기 자체를 교체해야 합니다.

 

2. 공유기 DNS 서버 설정

공유기 해킹을 통해 수정된 DNS 서버 주소는 사용자가 포털 사이트 접속시 가짜 포털 사이트로 연결하여 메시지 창 생성 및 악성앱(APK) 다운로드를 유도하는 방식입니다.

 

그러므로 공유기 DNS 서버 설정값이 기본값(통신사마다 다릅니다.)이 아닌 "수동으로 공유기의 DNS 서버 설정" 항목에 체크된 상태로 특정 IP 서버 주소로 설정된 경우에는 공유기가 해킹된 상태로 판단하시기 바랍니다.

 

만약 DNS 서버 주소가 기본값에서 변경된 경우에는 통신사에서 제공하는 기본/보조 DNS 서버 주소로 변경한 후 수동 체크를 해제하시기 바랍니다.

 

3. 2.4GHz/5GHz 무선 네트워크 암호 설정

공유기에서 사용하는 2.4GHz/5GHz 무선 네트워크의 네트워크 이름(SSID) 변경과 "WPA2PSK + AES" 암호화 방식으로 8자리 이상의 "영문 + 숫자 + 특수 문자"가 포함된 비밀번호를 설정하시고 사용하시기 바랍니다.

 

4. 원격 관리 포트 사용 해제 설정

외부에서 공유기로 원격 접속을 허용하지 않을 경우에는 반드시 "원격 관리 포트 사용" 항목에 체크 해제를 하시기 바라며, 만약 외부 접속을 허용할 경우에는 "외부 접속 보안 사용" 항목에 체크한 후 특정 IP 주소에 대해서만 허용하도록 추가적인 보안 설정을 하시고 사용하시기 바랍니다.

 

5. 공유기 관리자 계정 설정

공유기 관리 페이지(192.168.0.1) 접속시 사용자가 지정한 관리자 계정, 암호, Captcha Code를 입력하여 로그인하도록 설정하시기 바라며, 암호는 8자리 이상의 "영문 + 숫자 + 특수 문자" 형태로 설정하시기 바랍니다.

최근 해외에서도 다수 공유기(Router)의 CSRF(Cross-Site Request Forgery) 취약점을 이용한 악성 스크립트 추가를 통해 가짜 웹 사이트로 연결하여 악의적인 기능을 수행할 수 있다는 정보가 공개된 상태입니다.

 

그러므로 국내/해외 공유기 사용자는 사용하는 기종의 펌웨어 버전을 확인하여 반드시 최신 버전으로 업데이트 후 비밀번호 설정을 철저히하여 인터넷 접속시 사이버 공격에 악용되는 일이 없도록 관리를 잘하시기 바랍니다.

 

 
  • 이전 댓글 더보기
  • 하악하악 2015.06.06 18:54 댓글주소 수정/삭제 댓글쓰기

    초기화만 수십번..........그래서 와이파이 포기 하고 엘티이로 네이버 접속했는데 똑같이 뜨네요........ 와이파이랑 상관없이 데이터 엘티이도 저렇게 뜨는데 ㅠㅠ

    • 공유기 초기화만 하지 마시고 펌웨어 업데이트를 하지 않는다면 해결되지 않습니다.

      그리고 LTE 네트워크 환경에서도 발생하는 이유는 인터넷 접속하는 앱의 캐시, 쿠키 파일을 삭제해 줘야 합니다.

      또한 삭제 후에는 반드시 스마트폰 재부팅을 진행하시기 바랍니다.

  • 진우 2015.06.06 22:31 댓글주소 수정/삭제 댓글쓰기

    좋은 정보 감사합니다^^
    저도 오늘 이문제 때문에 힘들었는데..
    iptime 홈페이지에 가보니까, 보안 검사기와 업그레이드 알리미 설치하라고 되있던데~
    이거 설치하니까 초보자들도 여기나와있는 보안설정을 쉽게 할수 있도록 되어있는것 같네요..

  • 오늘 저녁에 갑자기 이러길래 검색해서 들어오니 잘 정리해서 올려주신 글이 있네요. 다행이에요 ; 지금 보고있는 드라마 끝나고 나면 바로 공유기 손봐야겠어요. 공유기 비밀번호 설정하고 가끔 비밀번호 리셋만 하는데 이젠 아예 2중 3중으로 꽁꽁 묶어놔야겠어요!

  • 날벼락 2015.06.06 23:25 댓글주소 수정/삭제 댓글쓰기

    여쭤보고싶은게
    1. 제 폰에 apk는 받아졌는데 출처알 수 없는 앱 차단해놔서 설치는 안됐는데요
    받아진 apk파일들은 다 지웠습니다.
    다른 곳 해결법 보면 다 핸드폰 초기화를 시켜야 한다고 하는데
    지금은 네이버가 정상적으로 들어가지는데도 폰 초기화만이 답인가요?
    모바일 v3로 검사해보고 모바일avast로도 검사해봤는데 이상없으면 괜찮은가요?

    2. 공유기 감염경로가 어떻게 되는건가요...?
    컴이 3대가 있는데 유선은 1대만 사용하는데요. 감염이 유선연결된 컴퓨터 때문인가요?
    아니면 유선연결이 없었어도 감염될 확률이 있는건가요?

    • 1. 다운로드된 apk 파일을 실행하여 설치하지 않고 그냥 삭제했다면 아무런 문제가 없습니다.

      2. 감염 경로는 외부에서 스캔을 해서 취약점을 가진 공유기를 자동으로 감염시키는 것이므로 사용자가 특별히 어떤 액션을 취했다고 발생하는 문제는 아닙니다.

  • 싸군 2015.06.06 23:34 댓글주소 수정/삭제 댓글쓰기

    저만 그런게아니었군요. 오늘 갑자기 나오길래,,덕분에 잘 해결하고 갑니다.
    감사합니다!!!

  • ㅠㅜㅠ 2015.06.07 09:02 댓글주소 수정/삭제 댓글쓰기

    공유기 초기화, 업그레이드 하고 핸드폰에서 그 어플지워졌으면 다 끝난건가요?? 일요일 아침부터 정신없었는데 도움 정말 많이 됐습니다^-^

  • 안녕하세요 좋은정보감사합니다 다름이아니라 오늘 아침 인터넷 접속하려는데 안되길래 아무의심 없이 설치까지 해버렸습니다. V3에서 악성이래서 바로 삭제하고 핸드폰 전원을 꺼놓은 상태로 공유기 파워도 끊었습니다! 안전모드로 핸드폰부팅해서 그 apk파일을 다 삭제하긴했는데 저 대처를 잘한건지 모르겠네요.. 저같은 상황에선 어떻게 해야하는지 부탁드리겠습니다 ㅠ (폰에 금융앱 같은건 없었어요 학생이라서 ) 읽어주셔서 감사합니다

    • 다운로드된 apk 파일 자체를 V3 모바일 백신에서 진단하여 제거하였다면 최종적으로 감염이 이루어진 것이 아니므로 안심하시기 바랍니다.

    • BlogIcon ㅠㅠ 2015.06.07 18:19 댓글주소 수정/삭제

      ㅠㅠ apk 다운 끝난후에 스마트터치 앱을 설치햇는데도 괜찮을까요?? 아 그리고 서버해킹같은건 핸드폰끄면 상관없나요?ㅠㅠㅠ 너무걱정되요ㅠㅠ

    • 설치 후 V3에서 진단해서 제거가 이루어졌다면 문제없을 듯 합니다. 사용하시는 공유기만 잘 처리하시면 될 듯합니다.

  • 전 와이파이든 lte든 네이버만 들어가면 계속 저렇게 되더군요. 물론 설치는 하지 않고 다운 받은거도 지웠습니다. 시작 페이지도 다른걸로 바꾸었구요. 공유기 초기화 업데이트 별 짓을 다 해도 네이버만 들어가면 저렇게 되네요...

  • 글을읽고 많은 도움이되었습니다
    말씀하신대로 하고 폰도 정상적으로 돌아왔습니다,궁금한게 은행도 다 삭제했는데 폰을 공장초기화시키지는 않았는데 다시 은행앱등 다운받아 사용해도 괜찮을까요~?초기화시켜야하나요~

    • 불안하시다면 모바일 백신을 이용하여 정밀 검사를 해보시기 바라며, Google Play에서 사용을 원하시는 앱을 다운로드하여 설치하시면 됩니다.

  • 1234 2015.06.10 20:23 댓글주소 수정/삭제 댓글쓰기

    님 덕분에 고칠수 있었습니다. 정말 감사드려요. 그런데 공유기는 어떻게 해킹당한걸까요 비번도 있었는데 무섭네요 ㅠㅠ

  • 고맙습니다. 2015.06.13 21:51 댓글주소 수정/삭제 댓글쓰기

    저같은경우 오늘 공공장소에서 와이파이 잡아서 쓰다가 갑자기 네이버가 안되면서 스마트 터치를 다운받으래서 다운받고, 아무 의심없이 apk까지 설치했습니다. 출처알 수 없는 앱 차단해제까지 하구요... 그러다가
    농협 어플을 삭제하라는 창이 계속 뜨길래 우선 취소 창을 누르고 검색해보니 이게 바이러스더군요ㅠㅠ
    급한대로 검색해서 v3 정밀검사해서 apk 삭제하고 환경설정-보안-디바이스관리자 에서 스마트터치 체크해제한다음 어플 삭제를 하긴했는데.. 너무 찜찜하네요 ㅠㅠ
    다시 v3돌리니 악성코드는 발견이 안되는데 무서워서 은행어플이랑 네이버관련된 앱은 다 지웠는데.. 해결된거지 잘 모르겠어서 답답한 마음에 글 남깁니다.ㅠㅠ

    • 내용을 봐서는 잘 처리가 되신 것 같고 농협앱 삭제를 요구하는 시점에서 추가적으로 설치가 진행된 것 같지는 않습니다.

      국내에서 유포되는 이런 악성앱은 AhnLab V3 모바일앱으로 모두 진단이 이루어지므로 현재 진단되는 부분이 없다면 큰 문제는 없을 것 같습니다.

      만약 스마트폰에 공인인증서가 있다면 유출되었을 수도 있으므로 이 부분만 재발급을 해주시면 됩니다.

    • 고맙습니다. 2015.06.13 22:15 댓글주소 수정/삭제

      공인인증서 재발급 받아야겠네요. 답변해주셔서 감사합니다.ㅠㅠ

  • 공유기 해킹당하면 공유기 자체를 바꾸어야 하나요?

    • 일반적으로 현재 사용하는 공유기의 펌웨어를 최신 버전으로 업데이트 및 보안 설정을 한 후에도 지속적으로 발생한다면 해당 공유기 고객센터를 통해 해킹 문제가 해결되는지 추가 확인을 하신 후 해결이 안될 경우 공유기를 재구매하셔야 할 듯 싶습니다.

      언제 구매한 제품인지 모르지만 5년 이상 오래된 경우가 아니면 펌웨어 업데이트 및 보안 설정만 잘 하시면 사용상 문제가 없을 듯합니다.

  • 77777 2015.06.14 20:59 댓글주소 수정/삭제 댓글쓰기

    스마트 터치 어플을 삭제를 할때 데이터, 쿠키는 삭제는 안하고바로 삭제 했어도 상관없을까요?

  • 스마트 터치 설치하라는 문구가 자꾸 떠서 당황했는데 덕분에 잘 해결했습니다. 공유기 설정도 5년만에 다시 했고요. 고맙습니다~~!

  • 전 아이폰6사용자인데요 설정해도 똑같은데요 왜그럴까요???공유기 고객센터는 제폰에 문제있다고 공유기 업데이트하면 바이러스는 제거된다고 하는데 이거 초기화해야하나요???

    • 공유기 설정을 올바르게 하셨는데 문제가 있다면 아이폰을 통해 인터넷 접속시 사용하는 어플의 환경 설정에서 임시 파일(캐시), 쿠키 파일을 모두 삭제하시고 재접속해 보시기 바랍니다.

      또한 삭제 후에는 공유기 및 스마트폰 자체를 완전히 종료한 후 재부팅해 보시기 바랍니다.

  • 스마트터치를 깔고 해킹앱 이라는 것을 알고 지우려고보니 아무리 찾아봐도 스마트터치앱이 없네요 제가 지운것도 아닌데. . 이럴땐 어떡하죠? 공유기, 폰초기화 밖엔 없나요?

    • 정확하게 SmartTouch 악성앱을 설치한게 맞는지 모르겠지만 설치된 애플리케이션 목록에 없다면 다른 이름이거나 설치하지 않았는데 설치한 것으로 착각하는게 아닌가 싶습니다.

      분석 정보 : http://hummingbird.tistory.com/5937

      모바일 백신을 이용하여 정밀 검사를 해보시기 바라며, 악성앱 감염으로 문제가 발생하고 있다면 공장 초기화를 하시기 바랍니다.

      그리고 이 문제의 근원은 공유기이므로 공유기 펌웨어 업데이트 및 보안 설정을 하시기 바랍니다.

  • ㅊㅊ 2015.06.18 22:46 댓글주소 수정/삭제 댓글쓰기

    전 엘티이로 하면 저 메시지가 안뜨는데 와이파이로 잡으면 저 메시지가 나와요..
    공유기 아이피타임으로 업데이트하고 비번도 다시 설정했는데 왜그런걸까요?? 폰은 아이폰입니다. 그럼 이건 공유기 문제인가요???

    • ipTIME 공유기는 펌웨어 업데이트로 해결이 가능한 것으로 알고 있습니다.

      아마 기존에 업데이트 창이 떴던 문제로 인해 수정한 후에도 표시되는 것 같으므로 인터넷 접속하는 어플의 환경 설정에서 캐시, 쿠키 파일을 모두 삭제한 후 아이폰을 재부팅하신 후 접속해 보시기 바랍니다.

  • 아이폰6인데 다운을 눌러버렸네요... 설정에서 사파리에서 모든 기록을 지우긴했는데 이걸로 괜찮은가요?

  • 문의드립니다.. 2015.08.06 10:00 댓글주소 수정/삭제 댓글쓰기

    해결 방법 정말 감사합니다. 해결방안을 보고 저에게 적용해서 많은 부분을 해결 하였으나, 아직 해결되지 않은 것이 있어서 문의드립니다.
    저의 상황은 노트북에 랜선을 꼽아서 커넥티파이라는 프로그램을 사용하여 핸드폰 와이파이를 사용하였습니다. (공유기는 사용하지 않음, 이후 커넥티파이 프로그램은 삭제)
    그러던중 노트북과 핸드폰에 모두 이런 현상이 발생하였습니다. 핸드폰에서 smart touch 팝업창이 뜨는 것은 캐쉬 파일 삭제등 위에 해결방안으로 처리하여 더이상 팝업창이 뜨지 않는 상태입니다.
    그러나 노트북으로 google 접속시 계속 위 같은 smart touch 팝업이 뜨고 한자가 써진 사이트로 이동되거나 www.qq.com 사이트로 이동 됩니다. 익스플로러, 크롬, 파이어폭스로 접속하여도 마찬가지이고 초기화설정, 재설치를 하여도 계속 저런 상태입니다.
    검색으로 많은 방법을 찾아보려했으나 전부 공유기에 관련된 내용이여서 해결 방법을 찾지못하여 문의드립니다. 저 같은 경우에는 어떻게해야하나요? 또 저 악성 앱은 노트북에는 그다지 지장이 없는 것인가요?
    긴 글 읽어주셔서 감사합니다. 답답한 마음에 문의드립니다.

    • Hotspot 방식의 Connectify 프로그램 역시 공유기처럼 동작하는게 아닌가 생각됩니다.

      이런 경우에도 공유기와 동일한 증상이 발생한다면 프로그램에 취약점이 있을 것으로 보이므로 최신 버전 사용 및 공유 방식에서 비밀번호를 강하게 설정하는 방법 외에는 없을 듯합니다.

      프로그램 자체를 사용해보지 못하여 당장 어떤 정보를 제공하기 매우 어렵습니다. 차후 프로그램을 살펴보도록 하겠습니다.

  • 캐시삭제하고 다시 시작해도 계속 뜰 경우는 어떻게 하나요ㅜㅜ 서비스센터로 가봐야 하나요?