[디지털데일리 이민형기자] 최근 인터넷 공유기의 취약점을 악용해 사용자들을 피싱 사이트로 유도하고, 파밍 애플리케이션을 설치하도록 하는 수법이 확산되고 있어 주의가 필요하다.

이 수법은 공격자가 관리자 암호가 설정돼 있지 않은 공유기에 접속해 DNS 주소를 특정 IP주소로 변경하는 방식이다.

DNS 주소가 변경될 경우 주소를 제대로 입력하더라도 공격자가 의도한 웹사이트로 이동이 된다. 마이크로소프트(MS) 윈도에서 호스트파일을 변경하는 것과 같은 효과를 볼 수 있다.

공격자는 공개돼 있는 공유기를 해킹해 DNS 주소를 변경한다. 이들은 효과를 극대화하기 위해 카페나 도서관 등 사용자가 몰리는 장소에 설치된 공유기를 주된 타깃으로 삼고 있다.

사용자들이 DNS 주소가 변경된 공유기를 통해 네이버, 다음과 같은 포털사이트에 접속하면 ‘네이버를 사칭한 변조사이트’라는 메시지<상단 사진>를 노출하며, 이를 차단할 수 있는 애플리케이션을 설치하라고 요구한다.

정상사이트로 접속한 뒤에 팝업의 형태로 메시지가 노출되기 때문에 많은 사용자들이 이를 설치하는 경향이 높은 것으로 알려졌다.

하지만 이 앱은 파밍용 악성 앱으로 설치하면 문자메시지, 주소록 등의 정보가 유출되며, 또 다른 악성앱이 스마트폰에 다운돼 금전탈취 등의 추가 피해가 발생할 수 있다.

이와 같은 메시지를 확인하면 취소를 선택하고 해당 와이파이를 사용하지 않는 것이 좋다. 이미 확인을 통해 내려 받았다면 신속히 삭제해야 한다.

공유기 DNS 주소가 변경된 상황이라면 노트북 등을 사용해 포털사이트에 접속할 경우에도 동일한 상황이 발생될 수 있다. 공격자는 웹브라우저의 헤더값을 분석한 뒤 PC와 모바일을 구분하는 식으로 공격한다는 사례도 보고된 바 있다.

이러한 문제를 근본적으로 해결하기 위해서는 공유기 설정을 변경해야 한다. 엔드포인트에서 DNS 서버가 변경된 공유기를 쓰는 한, 공격자의 손바닥 위에 있기 때문이다.

설정을 변경하기 위해서는 공유기의 관리자 페이지(192.168.0.1 등)에 접속한 뒤 변경된 DNS 서버 주소를 원상태로 복구해야 한다. KT, SK브로드밴드 등 국내 인터넷서비스업체들은 DNS 주소를 자동으로 설정해주므로 수동으로 돼 있는 체크박스를 변경해주면 해결된다.

또 외부에서 접근을 차단하기 위해 원격관리 기능을 비활성화 하고 와이파이, 관리자 보안을 설정하는 것이 필요하다. 특히 공개적인 장소에서 공개 와이파이를 운영하는 사업자의 경우 관리자 보안은 필수적이다. 이를 설정해두지 않으면 수 초내에 공유기가 해킹당할 수 있다.

유동영 KISA 종합상황대응팀장은 “외부에서 공유기에 무단 접근 및 설정을 변경할 수 없도록 관리자 암호를 쉽게 추측하기 어려운 영문자, 숫자 조합으로 설정하거나, ‘원격 관리’ 기능을 사용하지 않을 경우 해당 기능을 비활성화해야 한다”고 설명했다.

<이민형 기자>kiku@ddaily.co.kr