공유기 해킹 후 피싱 공격 빈번... 대응 방법은?

공유기 해킹 후 피싱 공격 빈번...대응 방법은?

최근 유무선 공유기를 사용하는 사용자 중 공유기 관리자 계정을 설정하지 않은 상태를 공격하여 특정 DNS로 변경하여 피싱사이트로 연결하는 CSRF(Cross-Site Request Forgery) 취약점이 발견되어 관련 신고가 다수 접수되고 있습니다. 과거 악성코드로 인해 hosts가 변경되어 정상적인 웹 사이트로의 이동을 피싱 사이트로 이동시키는 것과는 다른, 새로운 방식이여서 관련 업계 관계자들이 주목하고 있습니다.

피싱 사이트에서 악성 Active X 파일을 설치하도록 유도하는 화면

DNS가 변경되면 정상적인 포털사이트에 금융감독원을 사칭한 팝업창이 생성된 피싱 사이트로 연결되며, 공격자는 각 은행에 버튼을 제공하여 사용자의 금융정보 탈취를 시도합니다. 이는 악성 ActiveX 관련 파일을 다운로드 하도록 유도하여, 추가적인 악성코드를 설치하도록 하기 위한 것으로 보입니다.

또한 안드로이드(Android)용 스마트폰 사용자들 역시 이러한 DNS 변경으로 인해 특정 포털 사이트를 사칭한 페이지로 연결될 수 있습니다. 이 후 악성 앱을 사용자 스마트폰에 설치하도록 유도하기 때문에 사용자의 각별한 주의를 당부 드립니다.

이렇듯 공유기 취약점을 통한 DNS 서버주소 변경 공격으로 인해 피싱 사이트로 연결되는 사례가 대폭 증가하면서 각 유무선 공유기 업체에서는 DNS 변경 시 해킹 피해 대응을 위한 사용자 대처방법을 안내하고 있습니다. 각 업체에서는 공식 홈페이지 등을 통해 관리자 보안 설정과 공유기 초기화에 대한 내용 및 최신 펌웨어 업그레이드를 사용자들에게 지원하고 있으니 참고해 주시기 바랍니다.

공유기 웹 설정 페이지 내 펌웨어 업그레이드 화면

특히, 사용자가 이에 대응할 수 있는 방법은 공유기 제조사별로 다릅니다. 따라서 DNS 변조가 의심되는 사용자는 자신의 공유기 제조사를 확인하고, 각 업체의 대응방법을 따라 주시기 바랍니다. 다소 비슷해 보이지만 공유기별로 메뉴명칭에 차이가 있습니다. ipTIME, WeVO, Axler 공유기 대상 초기화 및 업데이트 방법은 아래와 같습니다.

 

ipTIME 공유기

1. 공유기 뒷면에 있는 초기화(reset) 버튼을 약 10초 동안 눌러 초기화를 진행합니다.

 

2. 연결된 PC를 켜고 인터넷 주소창에 '192.168.0.1'을 입력하고, 공유기 웹 설정 페이지로 접속합니다.

 

3. '펌웨어 업데이트' 진행을 시작합니다.

고급 설정 ▶ 시스템 관리 ▶ 펌웨어 업그레이드 ▶ 자동 업그레이드 실행

 

4. DNS 설정을 변경합니다. (공유기 초기화를 통해 해결하는 경우도 있습니다)

기본 설정 ▶ 인터넷 연결 설정 ▶ 기본·보조 DNS 서버의 값을 원래대로 변경

 

5. 관리자 비밀번호를 변경합니다.

고급 설정 ▶ 시스템 관리 ▶ 관리자 설정 ▶ 관리자 비밀번호 설정 및 변경

 

6. 공유기 원격 접속을 비활성화합니다.

고급 설정 ▶ 보안 기능 ▶ 공유기 접속 관리 ▶ 원격 관리 포트 사용 체크 해제

WeVO 공유기

1. 공유기 뒷면에 있는 초기화(reset) 버튼을 약 10초 동안 눌러 초기화를 진행합니다.

 

2. 연결된 PC를 켜고 인터넷 주소창에 '192.168.0.1'을 입력하고, 공유기 웹 설정 페이지로 접속합니다.

 

3. '펌웨어 업데이트' 진행을 시작합니다.

관리자 설정 ▶ 펌웨어 관리 ▶ 자동 펌웨어 업로드 ▶ 업로드 시작

 

자동 업데이트가 진행되지 않는 경우, WeVO 홈페이지 고객지원 ▶ 다운로드에서 사용중인 기종 펌웨어를 다운로드하여 수동으로 적용해야 합니다

4. DNS 설정을 변경합니다. (공유기 초기화를 통해 해결하는 경우도 있습니다)

네트워크 설정 ▶ 인터넷 연결 설정 ▶ DNS 서버 직접 입력 : 사용하지 않음 또는 기존 DNS로 변경 ▶ 적용

 

5. 관리자 비밀번호를 변경합니다.

관리자 설정 ▶ 관리자 인증 설정 ▶ 인증 사용 여부 : '사용함' 체크 ▶ 관리자 비밀번호 설정 및 변경

 

6. 공유기 원격 접속을 설정을 통해 차단합니다.

보안 기능 설정 ▶ 방화벽 설정 ▶ 공유기 원격 관리 포트 ▶ '사용안함' 체크 ▶ 적용

Axler 공유기

1. 공유기 뒷면에 있는 초기화(reset) 버튼을 약 10초 동안 눌러 초기화를 진행합니다.

 

2. 연결된 PC를 켜고 인터넷 주소창에 '192.168.0.1'을 입력하고, 공유기 웹 설정 페이지로 접속합니다.

관리자 암호 : admin1234 (해킹 방지를 위해 펌웨어 업그레이드 이 후 초기 암호가 admin에서 admin1234로 변경)

P104S 제품은 192.168.52.254를 입력하시기 바랍니다. 

3. 펌웨어 업데이트(Axler의 경우 홈페이지 내 다운로드 게시판에서 수동으로 확인할 수 있습니다)

관리자 기능 ▶ 펌웨어 업그레이드

 

4. DNS 설정을 변경합니다. (공유기 초기화를 통해 해결하는 경우도 있습니다)

HOME ▶ 간편 설정 ▶ 기본·보조 DNS 서버의 값을 원래대로 변경 또는 자동할당 설정 ▶ 적용

 

5. 관리자 비밀번호를 변경합니다.

관리자 기능 ▶ 시스템 설정 ▶ 관리자 비밀번호 설정 및 변경

 

6. 공유기 원격 접속을 비활성화합니다.

네트워크 설정 ▶ 인터넷 설정 ▶ 부가설정 ▶ 관리자 페이지 원격 접속 허용 체크 해제 ▶ 적용

※ 유무선 공유기 공식 홈페이지 : 파밍 사이트 및 무선 보안 임의 설정 관련 각 업체 공지

Axler : https://www.axler.co.kr/newhtml/atboard_view.php?grp1=notice&grp2=notice1&page=1¬ice=Y&kind=&uid=6335

SmartGate : http://www.smartgate.kr/page.asp?pageid=board_qna&pagenum=020000&bc_seq=2&b_cate=&method=view&page=1&b_seq=2021&search_key=&search_word=

WeVO : http://www.iwevo.co.kr/board.php?BID=board07&GID=root&mode=view&adminmode=&UID=7870

AnyGate : http://www.anygate.co.kr/pub/bbs/content.asp?table=bbs_01&multi=bbs_notice&idx=529

ipTIME : http://www.iptime.co.kr/~iptime/bbs/view.php?id=faq_setup&page=1&ffid=&fsid=&dffid=&dfsid=&dftid=&sn1=&divpage=1&dis_comp=&sn=off&ss=on&sc=on&select_arrange=headnum&desc=asc&dis_comp=&ng_value=&x_value=&no=583

알약은 해당 DNS 변조 악성코드(파일명 : NAVERActiveXControl.cab)를 Trojan.Downloader.SafeOcx로 탐지하고 있습니다.