가짜 네이버에 털릴수도…무료와이파이 비상

무선랜 공유기 악용한 파밍 제보 줄이어

일반입력 :2014/05/29 15:15

손경호 기자

#A씨는 업무를 보기 위해 커피전문점에 들려 노트북으로 무료 와이파이에 접속했다. 네이버에 접속했더니 갑자기 '금융감독원이 보안관련 인증절차를 진행한다'는 내용의 팝업창이 떴다. 확인해봤더니 네이버로 위장한 피싱 사이트였다.

#B씨는 스마트폰으로 웹툰을 보기 위해 무료 와이파이를 이용해 다음 웹사이트에 접속했다. 그런데 갑자기 '악성어플 치료서비스'라는 제목과 함께 '스마트폰 침해사고 예방용 보안 앱 설치하세요'라는 내용을 담은 팝업창이 떠서 화들짝 놀랐다. 알고 봤더니 악성 앱이었다.

그동안 스미싱, 파밍에 대한 집중단속이 이뤄지면서 공격자들이 이번에는 무료 와이파이 사용자들을 노리는 공격을 시도하고 있다. 무선랜 공유기가 가진 보안취약점을 이용해 사용자들을 현혹하고 있는 것이다.

29일 한국인터넷진흥원(KISA) 인터넷침해대응센터, 국내 보안업계 관계자들에 따르면 최초 발견 뒤 약 한 달째 취약한 무선랜 공유기를 악용한 파밍 관련 제보가 이어지고 있다.

잉카인터넷 대응팀 문종현 팀장에 따르면 지금까지 파밍은 사용자 PC를 악성코드에 감염시킨 뒤 호스트파일을 변조하는 수법을 써왔다. 이를 통해 정상적인 웹사이트 주소를 입력하더라도 해커가 조작한 악성 웹사이트로 접속이 유도됐다. 예를 들어 주소창에 'kbstar.com'을 치면 본래 사이트와 비슷하게 위장한 다른 악성 사이트에 연결되는 식이다. 스마트폰에서도 스미싱을 통해 악성 애플리케이션(앱)을 설치하는 수법으로 파밍 사이트 접속을 유도해 왔다.

최근 등장하고 있는 수법은 PC나 스마트폰에 직접 악성코드를 까는 대신 커피전문점, 패스트푸드점

, 도서관 등과 같이 무료 와이파이 접속이 허용된 무선랜 공유기를 조작하는 수법을 악용하고 있는 추세다.

악용된 방식 자체는 고도의 해킹수법이라고 보기는 힘들다. 무선랜 공유기 관리자 페이지에 원격으로 접속해 사용자가 접속하면 특정 IP주소로 연결되도록 조작하는 방식을 썼기 때문이다.

무선랜 공유기 관리자 페이지에서 무선 와이파이에 접속시 연결되는 도메인네임시스템(DNS) 서버 주소를 조작하는 것이다. 이렇게 하면 예를 들어 'naver.com'이라고 주소창에 입력하더라도 비슷한 화면으로 조작한 악성 웹사이트로 연결될 수 있는 것이다.

KISA는 시중에 공급되고 있는 일부 무선랜 공유기 제조사에 관리자 페이지 설정을 바꿀 것을 권고했다.

문제는 누가 무선랜 공유기에 접속해 DNS서버 주소를 조작했는지 확인하기 어렵다는 점이다. 무선을 통해 접속한 사용자를 파악하기 힘들기 때문에 추적이 쉽지 않다.

무선랜 공유기는 그동안에도 단순한 비밀번호를 쓰거나 공장에서 나올 때 사용된 비밀번호가 그대로 활용되는 경우가 많아 보안이 취약할 수 있다는 점은 그동안 줄곧 제기돼 온 문제다.

이를 해결하기 위해 KISA는 관리자 페이지에는 사용 전 반드시 영문, 숫자, 특수문자를 조합해 8자리 이상 관리자용 비밀번호를 설정해야 한다고 당부했다. 또한 상대적으로 안전한 'WPA2' 사용자 인증방식을 적용해 앞서와 마찬가지로 여러 조합을 섞은 8자리 이상 비밀번호를 사용할 것을 권고했다.

관련기사

공유기 제조사측에서는 초기 공유기 설치시 기본설정(default)된 비밀번호를 변경하거나 설정되지 않았을 경우 사용자가 직접 지정한 임의 비밀번호를 적용하도록 했다.

이밖에 공유기 제조사가 제공하는 해당 기기용 펌웨어를 업데이트하는 것도 방법이다.