일확천금 몸값보다 지속적인 수입 보장하는 광고 하이재킹에 공격 몰려
[보안뉴스 원병철 기자] 최근 중국을 비롯해 북한 등 다양한 국가의 해커가 한국 웹사이트를 공격하고 있다. 그중에서도 본지에서 보도한 바 있듯 인터넷 뱅킹을 노린 DNS 변조 파밍 등 DNS를 대상으로 한 공격이 늘어나고 있는데, 그 이유는 무엇일까?
.jpg)
ICT 보안서비스 전문기업 한국통신인터넷기술에서 제공한 ‘F-Secure 2016 Threat Report’에 따르면, DNS 하이재킹은 공격자에게 솔깃한 공격 방식이다. 이 공격을 받은 피해자들은 대개 시스템 손상을 알아채지 못하며, 공격 자체를 보안업체가 정확하게 파악하기도 곤란하기 때문이다.
DNS 하이재킹 공격은 크게 두 가지 부류인데, △공격자에 의한 컴퓨터의 DNS 설정 변경(멀웨어 소프트웨어 또는 잠재적 유해 응용 프로그램인 PUA에 의함) △공유기 설정 변경(공유기와 연결된 모든 장비가 악성 DNS 서버로 향하는 거짓 설정을 수신함을 의미)이다. 공격자는 관리자 인터페이스의 로그인 패스워드를 알아내거나(사람들은 대개 공유기 초기 설정을 그대로 유지하므로 흔히 사용되는 방법이다), 공유기 소프트웨어의 취약점을 이용해 공유기를 해킹한다.
일단 DNS 설정이 변경되면, 공격자는 다양한 악의적인 행동을 취할 수 있다. 예를 들면, DNS 하이재킹 피해자가 트로이목마에 감염된 온라인 뱅킹 서비스에 접속하게 되면, 공격자는 패스워드를 갈취하거나 서비스 과정에 개입할 수 있게 된다.
또한, 피해자는 트로이목마에 감염된 소셜미디어 사이트에 접속함으로써 로그인 패스워드가 유출되어 개인정보 수집이나 신원도용에 악용될 수도 있다. 마지막으로 불법 DNS 서버는 피해자가 방문하는 합법적인 웹사이트의 광고도 변조할 수 있다. 변조된 광고는 약간 공격적인 것(팝업 광고, 팝언더 광고 등)부터 사용자가 예기치 않은 내용(음란물 사이트 광고, 비아그라 등), 심지어 사용자가 해서는 안 될 행동을 유도(컴퓨터가 감염됐으며 치료 사이트에 접속하라는 팝업)하는 광고까지 아주 다양하다.
F-Secure의 백엔드 시스템 자료에 의하면 전체 고객의 98%가 인터넷 서비스 공급자(ISP)의 DNS 서버를 사용하고 있다. 나머지 2% 중 절반은 공공 DNS 서버(구글 DNS와 같은)를, 나머지 절반은 ‘비공식’ 공개 DNS 서버를 사용하고 있는 것으로 드러났다.
분석결과에 따르면, 마지막 1%가 사용하는 공개 DNS 서버는 대부분 합법적인 공개 DNS 서버로 밝혀졌다. 그 사용자의 10%~20%만이 사실상 불법 DNS 서버로 연결되는 것으로 추정된다. 따라서 전체 고객의 0.1%에서 0.2%가 DNS 하이재킹 공격을 받는 것으로 추정된다. 대다수는 라우터 하이재킹이 아닌 윈도우 멀웨어/PUA 캠페인에 의한 것으로 밝혀졌다.
DNS Unlocker와 Looksafe 관련 활동이 F-Secure가 파악하고 있는 하이재킹 중 시장점유율이 가장 높다. 앞서 말한 바와 같이, 악성 DNS 서버는 식별하기가 어렵다. 의심스러운 DNS 서버의 주소 중 손상된 사이트로 재접속된 주소를 검색해 복귀하는 IP 주소를 확인한다 하더라도 대부분의 경우 결정적인 증거를 확보할 수 없다.
광고차단 프로그램이 사용하는 합법 DNS 서버일지라도 불법 서버처럼 보이는 경우도 있다. 안전하다고 평판이 난 서버도 공격자가 오염시켰을 수 있는데, 구별하기도 쉽지 않다. DNS 하이재킹의 배후 역할을 하는 이가 이 사실을 알고 악용할 가능성도 있다.
.jpg)
파악된 불법 DNS 서버의 대부분은 광고 하이재킹에 활용된다. 어떤 방식으로 하는 것일까? 위에서 설명한대로, 피해자 장비의 DNS 설정이 변경되어 손상된 DNS 서버에 접속되고, 손상된 서버는 google-analytics.com 같은 대체용 IP 주소를 제공한다. 그 다음 손상된 사이트는 브라우저가 기다리는 회신에 자바스크립트를 실행시켜 구글이 관장하지 않는 대체 또는 추가 광고가 피해자의 브라우저에서 실행되도록 하는 것이다. 공격자는 피해자가 검색하는 페이지에 광고가 뜨는 보상을 받는 방식이다.
DNS 하이재킹 피해자의 은행계좌에서 돈이 빠져 나가든지, 소셜미디어 계정이 멀웨어를 내보내기 시작한다든지 하게 되면, 피해자는 꽤 빠르게 하이재킹 사실을 알아차리고 문제를 해결할 수 있게 된다. 즉, 공격자가 피해자의 컴퓨터를 손상시키는데 투자한 시간은 단기적으로 보상받을지는 모르지만 꾸준한 수입을 가져다 주지는 않는다는 사실이다.
반면에 광고 하이재킹으로 공격자는 꾸준히 현금을 챙길 수 있고, 피해자가 거의 알아채지 못하기 때문에 계속 감시망을 벗어나 수입을 올릴 수 있다.
결론적으로, DNS 하이재킹에 연루된 범죄자들은 영악하게도 일확천금보다는 꾸준하고 은밀한 수입을 선호하는 것으로 보인다.
[원병철 기자(boanone@boannews.com)]
[보안뉴스 원병철 기자] 최근 중국을 비롯해 북한 등 다양한 국가의 해커가 한국 웹사이트를 공격하고 있다. 그중에서도 본지에서 보도한 바 있듯 인터넷 뱅킹을 노린 DNS 변조 파밍 등 DNS를 대상으로 한 공격이 늘어나고 있는데, 그 이유는 무엇일까?
ICT 보안서비스 전문기업 한국통신인터넷기술에서 제공한 ‘F-Secure 2016 Threat Report’에 따르면, DNS 하이재킹은 공격자에게 솔깃한 공격 방식이다. 이 공격을 받은 피해자들은 대개 시스템 손상을 알아채지 못하며, 공격 자체를 보안업체가 정확하게 파악하기도 곤란하기 때문이다.
DNS 하이재킹 공격은 크게 두 가지 부류인데, △공격자에 의한 컴퓨터의 DNS 설정 변경(멀웨어 소프트웨어 또는 잠재적 유해 응용 프로그램인 PUA에 의함) △공유기 설정 변경(공유기와 연결된 모든 장비가 악성 DNS 서버로 향하는 거짓 설정을 수신함을 의미)이다. 공격자는 관리자 인터페이스의 로그인 패스워드를 알아내거나(사람들은 대개 공유기 초기 설정을 그대로 유지하므로 흔히 사용되는 방법이다), 공유기 소프트웨어의 취약점을 이용해 공유기를 해킹한다.
일단 DNS 설정이 변경되면, 공격자는 다양한 악의적인 행동을 취할 수 있다. 예를 들면, DNS 하이재킹 피해자가 트로이목마에 감염된 온라인 뱅킹 서비스에 접속하게 되면, 공격자는 패스워드를 갈취하거나 서비스 과정에 개입할 수 있게 된다.
또한, 피해자는 트로이목마에 감염된 소셜미디어 사이트에 접속함으로써 로그인 패스워드가 유출되어 개인정보 수집이나 신원도용에 악용될 수도 있다. 마지막으로 불법 DNS 서버는 피해자가 방문하는 합법적인 웹사이트의 광고도 변조할 수 있다. 변조된 광고는 약간 공격적인 것(팝업 광고, 팝언더 광고 등)부터 사용자가 예기치 않은 내용(음란물 사이트 광고, 비아그라 등), 심지어 사용자가 해서는 안 될 행동을 유도(컴퓨터가 감염됐으며 치료 사이트에 접속하라는 팝업)하는 광고까지 아주 다양하다.
F-Secure의 백엔드 시스템 자료에 의하면 전체 고객의 98%가 인터넷 서비스 공급자(ISP)의 DNS 서버를 사용하고 있다. 나머지 2% 중 절반은 공공 DNS 서버(구글 DNS와 같은)를, 나머지 절반은 ‘비공식’ 공개 DNS 서버를 사용하고 있는 것으로 드러났다.
분석결과에 따르면, 마지막 1%가 사용하는 공개 DNS 서버는 대부분 합법적인 공개 DNS 서버로 밝혀졌다. 그 사용자의 10%~20%만이 사실상 불법 DNS 서버로 연결되는 것으로 추정된다. 따라서 전체 고객의 0.1%에서 0.2%가 DNS 하이재킹 공격을 받는 것으로 추정된다. 대다수는 라우터 하이재킹이 아닌 윈도우 멀웨어/PUA 캠페인에 의한 것으로 밝혀졌다.
DNS Unlocker와 Looksafe 관련 활동이 F-Secure가 파악하고 있는 하이재킹 중 시장점유율이 가장 높다. 앞서 말한 바와 같이, 악성 DNS 서버는 식별하기가 어렵다. 의심스러운 DNS 서버의 주소 중 손상된 사이트로 재접속된 주소를 검색해 복귀하는 IP 주소를 확인한다 하더라도 대부분의 경우 결정적인 증거를 확보할 수 없다.
광고차단 프로그램이 사용하는 합법 DNS 서버일지라도 불법 서버처럼 보이는 경우도 있다. 안전하다고 평판이 난 서버도 공격자가 오염시켰을 수 있는데, 구별하기도 쉽지 않다. DNS 하이재킹의 배후 역할을 하는 이가 이 사실을 알고 악용할 가능성도 있다.
파악된 불법 DNS 서버의 대부분은 광고 하이재킹에 활용된다. 어떤 방식으로 하는 것일까? 위에서 설명한대로, 피해자 장비의 DNS 설정이 변경되어 손상된 DNS 서버에 접속되고, 손상된 서버는 google-analytics.com 같은 대체용 IP 주소를 제공한다. 그 다음 손상된 사이트는 브라우저가 기다리는 회신에 자바스크립트를 실행시켜 구글이 관장하지 않는 대체 또는 추가 광고가 피해자의 브라우저에서 실행되도록 하는 것이다. 공격자는 피해자가 검색하는 페이지에 광고가 뜨는 보상을 받는 방식이다.
DNS 하이재킹 피해자의 은행계좌에서 돈이 빠져 나가든지, 소셜미디어 계정이 멀웨어를 내보내기 시작한다든지 하게 되면, 피해자는 꽤 빠르게 하이재킹 사실을 알아차리고 문제를 해결할 수 있게 된다. 즉, 공격자가 피해자의 컴퓨터를 손상시키는데 투자한 시간은 단기적으로 보상받을지는 모르지만 꾸준한 수입을 가져다 주지는 않는다는 사실이다.
반면에 광고 하이재킹으로 공격자는 꾸준히 현금을 챙길 수 있고, 피해자가 거의 알아채지 못하기 때문에 계속 감시망을 벗어나 수입을 올릴 수 있다.
결론적으로, DNS 하이재킹에 연루된 범죄자들은 영악하게도 일확천금보다는 꾸준하고 은밀한 수입을 선호하는 것으로 보인다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
