.gif)
공유기 뚫린 건 대부분 비밀번호 안 바꾼 탓
해킹 통해 사용자 정보 빼가는 건 물론 디도스 공격에 활용되기도
[보안뉴스 원병철 기자] 지난 11일 경찰청에서 발표한 스마트폰 감염 사건은 공유기를 해킹한 후, 해당 공유기를 이용한 스마트폰에 악성앱을 유포하면서 벌어진 사건이었다. 약 4개월 동안 진행된 이번 사건은 악성 앱으로 만들어진 부정 계정을 판매해 바이럴 마케팅에 사용하다 경찰이 사건을 조사하면서 세상에 알려졌다. 즉, 공유기 사용자나 제조사, 부정 계정이 만들어진 포털 등 각각의 피해자는 경찰이 연락하기까지 이 사실을 까마득히 몰랐다.
.jpg)
이번 사건의 핵심은 바로 공유기 해킹이다. 사실 공유기의 해킹 위험성은 어제오늘만의 이야기는 아니다. 2014년 SK브로드밴드 침해사고를 시작으로, 불법 수집 IP 주소 판매사건, 공유기를 통한 디도스 공격사건, 이번 사건과 비슷하게 해킹된 공유기를 통해 악성앱을 설치, 금융정보를 탈취한 사건 등 공유기가 연관된 보안사고는 끝없이 발생하고 있다.
뿐만 아니다. 이미 해외에서도 공유기의 위험성은 논란이 되고 있다. 클라우드 서비스 보안기업 인캡슐라가 전 세계 많은 사용자들이 비밀번호 등 보안설정을 제대로 하지 않아, 많은 공유기가 해킹돼 악용되고 있다는 보고서를 밝힌 것이 여러 매체를 통해 보도됐다. 또한, 미국의 네트워크 전문업체 노미넘도 공유기를 악용해 디도스 공격에 이용하는 행위가 늘고 있으며, 미국에서만 2,400만 대 이상의 공유기가 별도의 암호를 설정하지 않았다고 발표한 바 있다.
Admin이 만든 참사, 얼마의 공유기가 당했는지도 모른다
이처럼 공유기의 위험성이 알려져 있지만, 이를 막기 위한 시도는 지금껏 성공하지 못했다. SK브로드밴드 사건에서 공유기가 디도스 공격의 도구로 사용된 후, 미래부는 ‘공유기 보안 강화대책’을 발표하고 다양한 방안을 마련했다. 공유기 상시 모니터링 시스템을 만들어 트래픽을 감시했고, 신규 취약점을 발굴하는 프로그램을 개발하는 한편, 사설 공유기 보안 업데이트 체계도 가동하기로 했다. 또한, 공유기 보안취약점 신고포상제 도입이나 공유기 자가점검도구 개발 등 개발사와 사용자를 아우르는 대책을 마련했다.
하지만 이번 공유기 해킹사건에서 보듯 하나도 바뀌지 않았다. 사실 전문가들의 의견을 들어보면 이번 공유기 해킹은 ‘해킹’이라 부르기도 어려운 사건이다. 복잡한 해킹툴로 공유기를 공격한 것이 아닌, 공장초기 비밀번호, 예를 들면 ‘Admin’을 바꾸지 않아서 벌어졌기 때문이다. 공유기 전문가의 말을 들어보면, 지금까지 벌어진 대부분의 공유기 해킹 사건에서 실제 공유기를 직접 해킹한 경우는 거의 없으며, 비밀번호를 유추해 공유기를 장악한 후, 후속 작업을 한 것이 전부다. 즉, 공유기의 비밀번호만 바꿨다면 충분히 막을 수 있었다는 얘기다.
“우리가 흔히 아는 인터넷(IP) 주소는 정확하게 말해서 도메인이라고 합니다. 일례로www.boannews.com이 사실 주소가 아닌 도메인인 것이죠. 이 도메인을 실제 IP 주소로 바꿔주는 것을 DNS라고 하고, DNS 서버가 이 작업을 해줍니다. 공유기를 해킹하면 DNS에 간섭할 수 있는데, 이때 진짜 주소가 아닌 가짜 주소로 보내서 악성앱 등을 설치하도록 하는 것을 파밍이라고 합니다. 이번 공유기 사건이 이러한 파밍으로 진행됐죠.”
보통 파밍은 메일이나 메시지 등을 통해서 가짜 주소를 전송해 접속시키는 방법을 주로 이용하는데, 공유기를 이용하면 사용자가 제대로 된 도메인을 사용해도 가짜 웹사이트로 들어갈 수밖에 없다. 이처럼 공유기가 이번 사건의 진원지였지만, 사실 얼마나 많은 공유기가 이번 사건에 활용됐는지조차 확인할 수 없는 게 현실이다. 경찰청은 이번 사건에서 감염된 스마트폰(1만 3,501대)의 수는 파악했지만, 해킹된 공유기 숫자는 아직 파악하지 못하고 있다.
보안 강화 위해 강제로 비밀번호 바꾸게 한 제조사, 욕만 먹어
그렇다면 이번 사건에 대해 공유기 업체들은 어떻게 대응하고 있을까? 사실 정부는 오래전부터 공유기 제조사나 수입사에 여러 가지 방법을 제시했다. 실제로 ‘강제 비밀번호 변경’을 하도록 요청도 했었다. 하지만 본지 취재에 따르면 단 한곳의 제조사만 이를 시행했을 뿐 다른 업체들은 하지 않았고, 오히려 이를 시행한 제조사만 사용자들에게 욕을 먹고 해당 공유기를 다시는 이용하지 않겠다는 불평을 들어야만 했다.
더욱이 강제 비밀번호 변경을 시행하려면 펌웨어 업데이트를 해야만 가능한데, 공유기의 펌웨어 업데이트를 찾아서 하는 사용자가 별로 없을 거라고 보면, 최신 공유기를 제외한 대부분의 공유기가 아직까지 Admin 등의 기본 비밀번호를 사용하고 있다는 추측이 가능하다.
당시 강제 비밀번호 변경제도를 시행했던 제조사의 담당자는 “고객들에게 항의를 많이 받았지만, 그래도 펌웨어 업그레이드나 최신 제품은 무조건 비밀번호를 바꾸도록 설정했다”면서 “당장 귀찮다고 비밀번호를 안 바꿨다가 이번과 같은 사건에 휘말릴 수 있으니 사용자들은 꼭 비밀번호를 바꿔야할 것”이라고 당부했다.
.jpg)
.jpg)
▲ 강제 비밀번호 변경 후 온라인에 올라온 사용자 항의 글
그렇다면 모든 제조사가 비밀번호를 바꿀 수 있도록 법을 제정하거나 인증 제도를 만들 수는 없을까? 하지만 이는 이미 지난해 미래창조과학부가 기업들과 추진했다가 포기한 사안이라며 제조사 담당자는 고개를 저었다. 관련 법 제정은 해외 기업 때문에 국제적인 문제가 될 수도 있고, 인증제도 역시 여러 가지 문제에 부딪혀 없던 일로 됐다는 것.
상황이 이렇게 됐으니, 이제 남은 방법은 단 하나뿐. 사용자 스스로가 공유기의 비밀번호를 바꿔야 하지만 사실 이것도 쉽지 않다. 앞서 설명했던 것처럼 펌웨어 업데이트를 통해 강제 비밀번호 변경을 실시했던 한 공유기 제조사는 사용자들의 격렬한 항의를 받았다. 사용자 스스로 비밀번호를 바꾸는 등 보안 설정을 강화하는 것에 거부반응을 보였기 때문이다.
그동안 본지는 기사를 통해 비밀번호를 설정하지 않은 공유기의 위험성을 꾸준히 지적하면서 반드시 비밀번호를 바꾸도록 조언해 왔다. 하지만 이번 공유기 사건에서 보듯 대부분의 공유기는 여전히 보안 위협에 놓여있다. 단지 비밀번호만 바꾸면 되는 것을 ‘귀찮다’와 ‘잘 몰라서’라는 이유 때문에 말이다. 본지에 실렸던 한 전문가의 칼럼이 떠오른다. “우리 집 대문과 같은 공유기, 문만 잠그면 되는데, 비밀번호만 바꾸면 되는데, 귀찮아서 열어두실 건가요? 정말요?”
[원병철 기자(boanone@boannews.com)]
해킹 통해 사용자 정보 빼가는 건 물론 디도스 공격에 활용되기도
[보안뉴스 원병철 기자] 지난 11일 경찰청에서 발표한 스마트폰 감염 사건은 공유기를 해킹한 후, 해당 공유기를 이용한 스마트폰에 악성앱을 유포하면서 벌어진 사건이었다. 약 4개월 동안 진행된 이번 사건은 악성 앱으로 만들어진 부정 계정을 판매해 바이럴 마케팅에 사용하다 경찰이 사건을 조사하면서 세상에 알려졌다. 즉, 공유기 사용자나 제조사, 부정 계정이 만들어진 포털 등 각각의 피해자는 경찰이 연락하기까지 이 사실을 까마득히 몰랐다.
이번 사건의 핵심은 바로 공유기 해킹이다. 사실 공유기의 해킹 위험성은 어제오늘만의 이야기는 아니다. 2014년 SK브로드밴드 침해사고를 시작으로, 불법 수집 IP 주소 판매사건, 공유기를 통한 디도스 공격사건, 이번 사건과 비슷하게 해킹된 공유기를 통해 악성앱을 설치, 금융정보를 탈취한 사건 등 공유기가 연관된 보안사고는 끝없이 발생하고 있다.
뿐만 아니다. 이미 해외에서도 공유기의 위험성은 논란이 되고 있다. 클라우드 서비스 보안기업 인캡슐라가 전 세계 많은 사용자들이 비밀번호 등 보안설정을 제대로 하지 않아, 많은 공유기가 해킹돼 악용되고 있다는 보고서를 밝힌 것이 여러 매체를 통해 보도됐다. 또한, 미국의 네트워크 전문업체 노미넘도 공유기를 악용해 디도스 공격에 이용하는 행위가 늘고 있으며, 미국에서만 2,400만 대 이상의 공유기가 별도의 암호를 설정하지 않았다고 발표한 바 있다.
Admin이 만든 참사, 얼마의 공유기가 당했는지도 모른다
이처럼 공유기의 위험성이 알려져 있지만, 이를 막기 위한 시도는 지금껏 성공하지 못했다. SK브로드밴드 사건에서 공유기가 디도스 공격의 도구로 사용된 후, 미래부는 ‘공유기 보안 강화대책’을 발표하고 다양한 방안을 마련했다. 공유기 상시 모니터링 시스템을 만들어 트래픽을 감시했고, 신규 취약점을 발굴하는 프로그램을 개발하는 한편, 사설 공유기 보안 업데이트 체계도 가동하기로 했다. 또한, 공유기 보안취약점 신고포상제 도입이나 공유기 자가점검도구 개발 등 개발사와 사용자를 아우르는 대책을 마련했다.
하지만 이번 공유기 해킹사건에서 보듯 하나도 바뀌지 않았다. 사실 전문가들의 의견을 들어보면 이번 공유기 해킹은 ‘해킹’이라 부르기도 어려운 사건이다. 복잡한 해킹툴로 공유기를 공격한 것이 아닌, 공장초기 비밀번호, 예를 들면 ‘Admin’을 바꾸지 않아서 벌어졌기 때문이다. 공유기 전문가의 말을 들어보면, 지금까지 벌어진 대부분의 공유기 해킹 사건에서 실제 공유기를 직접 해킹한 경우는 거의 없으며, 비밀번호를 유추해 공유기를 장악한 후, 후속 작업을 한 것이 전부다. 즉, 공유기의 비밀번호만 바꿨다면 충분히 막을 수 있었다는 얘기다.
“우리가 흔히 아는 인터넷(IP) 주소는 정확하게 말해서 도메인이라고 합니다. 일례로www.boannews.com이 사실 주소가 아닌 도메인인 것이죠. 이 도메인을 실제 IP 주소로 바꿔주는 것을 DNS라고 하고, DNS 서버가 이 작업을 해줍니다. 공유기를 해킹하면 DNS에 간섭할 수 있는데, 이때 진짜 주소가 아닌 가짜 주소로 보내서 악성앱 등을 설치하도록 하는 것을 파밍이라고 합니다. 이번 공유기 사건이 이러한 파밍으로 진행됐죠.”
보통 파밍은 메일이나 메시지 등을 통해서 가짜 주소를 전송해 접속시키는 방법을 주로 이용하는데, 공유기를 이용하면 사용자가 제대로 된 도메인을 사용해도 가짜 웹사이트로 들어갈 수밖에 없다. 이처럼 공유기가 이번 사건의 진원지였지만, 사실 얼마나 많은 공유기가 이번 사건에 활용됐는지조차 확인할 수 없는 게 현실이다. 경찰청은 이번 사건에서 감염된 스마트폰(1만 3,501대)의 수는 파악했지만, 해킹된 공유기 숫자는 아직 파악하지 못하고 있다.
보안 강화 위해 강제로 비밀번호 바꾸게 한 제조사, 욕만 먹어
그렇다면 이번 사건에 대해 공유기 업체들은 어떻게 대응하고 있을까? 사실 정부는 오래전부터 공유기 제조사나 수입사에 여러 가지 방법을 제시했다. 실제로 ‘강제 비밀번호 변경’을 하도록 요청도 했었다. 하지만 본지 취재에 따르면 단 한곳의 제조사만 이를 시행했을 뿐 다른 업체들은 하지 않았고, 오히려 이를 시행한 제조사만 사용자들에게 욕을 먹고 해당 공유기를 다시는 이용하지 않겠다는 불평을 들어야만 했다.
더욱이 강제 비밀번호 변경을 시행하려면 펌웨어 업데이트를 해야만 가능한데, 공유기의 펌웨어 업데이트를 찾아서 하는 사용자가 별로 없을 거라고 보면, 최신 공유기를 제외한 대부분의 공유기가 아직까지 Admin 등의 기본 비밀번호를 사용하고 있다는 추측이 가능하다.
당시 강제 비밀번호 변경제도를 시행했던 제조사의 담당자는 “고객들에게 항의를 많이 받았지만, 그래도 펌웨어 업그레이드나 최신 제품은 무조건 비밀번호를 바꾸도록 설정했다”면서 “당장 귀찮다고 비밀번호를 안 바꿨다가 이번과 같은 사건에 휘말릴 수 있으니 사용자들은 꼭 비밀번호를 바꿔야할 것”이라고 당부했다.
▲ 강제 비밀번호 변경 후 온라인에 올라온 사용자 항의 글
그렇다면 모든 제조사가 비밀번호를 바꿀 수 있도록 법을 제정하거나 인증 제도를 만들 수는 없을까? 하지만 이는 이미 지난해 미래창조과학부가 기업들과 추진했다가 포기한 사안이라며 제조사 담당자는 고개를 저었다. 관련 법 제정은 해외 기업 때문에 국제적인 문제가 될 수도 있고, 인증제도 역시 여러 가지 문제에 부딪혀 없던 일로 됐다는 것.
상황이 이렇게 됐으니, 이제 남은 방법은 단 하나뿐. 사용자 스스로가 공유기의 비밀번호를 바꿔야 하지만 사실 이것도 쉽지 않다. 앞서 설명했던 것처럼 펌웨어 업데이트를 통해 강제 비밀번호 변경을 실시했던 한 공유기 제조사는 사용자들의 격렬한 항의를 받았다. 사용자 스스로 비밀번호를 바꾸는 등 보안 설정을 강화하는 것에 거부반응을 보였기 때문이다.
그동안 본지는 기사를 통해 비밀번호를 설정하지 않은 공유기의 위험성을 꾸준히 지적하면서 반드시 비밀번호를 바꾸도록 조언해 왔다. 하지만 이번 공유기 사건에서 보듯 대부분의 공유기는 여전히 보안 위협에 놓여있다. 단지 비밀번호만 바꾸면 되는 것을 ‘귀찮다’와 ‘잘 몰라서’라는 이유 때문에 말이다. 본지에 실렸던 한 전문가의 칼럼이 떠오른다. “우리 집 대문과 같은 공유기, 문만 잠그면 되는데, 비밀번호만 바꾸면 되는데, 귀찮아서 열어두실 건가요? 정말요?”
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
