OpenDNS에 해당하는글 1



가정용 라우터는 보안이 취약한 편이며 허술하게 제작된 수많은 라우터들이 사이버공격에 노출된 실정이다. 가정용 라우터는 스마트폰 시장처럼 여러 제조업체들이 수많은 종류의 기기를 대규모로 제작하지만 이들 기기에 대한 업데이트 등 후속조치가 철저하지 못하며 이 때문에 공격에 쉽게 노출될 수 있다. 여기에서는 라우터 보안 결함이 야기할 수 있는 문제와 이를 확인하는 방법을 소개한다.

 

공격자는 사용자 라우터의 DNS 서버 설정을 변경하여 사용자 접속을 악성 DNS 서버로 이동시키는 수법을 자주 사용한다. 사용자가 예를 들어 은행 웹사이트에 접속하고자 할 경우 위와 같이 정상적인 DNS가 아닌 악성 DNS 서버를 거친다면 원래 은행이 아닌 피싱 사이트로 접속하게 된다. 이 때 주소창에는 여전히 정상적인 은행 URL이 적혀 있을 수 있다.

 

라우터 해킹 과정에는 많은 경우 사이트 간 요청 조작(cross-site request forgery, CSRF) 수법이 쓰인다. 공격자가 웹페이지에 악성 자바스크립트를 첨부시키면 이 자바스크립트가 라우터 웹기반 관리페이지를 열어 설정을 변경한다. 해당 자바스크립트가 사용자 로컬네트워크 내부의 기기에서 작동하는 한 그 로컬네트워크 내부에서만 접근 가능한 라우터 웹인터페이스에 접근할 수 있기 때문이다. 몇몇 라우터의 경우 원격관리 인터페이스가 초기 사용자이름과 암호를 통해 작동되는 상태일 수도 있으며 봇은 인터넷을 통해 이런 라우터를 검색하여 접속할 수 있다. 한편 상당수 라우터에서 발견되는 UPnP 취약점 악용 등 다른 방식의 취약점악용 가능성도 존재한다.

 

공격자가 이렇게 DNS 서버 악용에 성공했다면 이를 광고주입, 검색결과 조작, 악성코드 방문다운로드(drive-by download) 유도 등에 활용한다. 있다. 광고주입과정을 살펴보면 구글분석기(Google Analytics)를 비롯하여 거의 모든 웹사이트가 사용하는 각종 스크립트를 수집하여 해당 접속을 광고주입 스크립트를 제공하는 서버로 변경시킬 수 있다.

 

DNS 요청시간이 비정상적으로 지연될 경우 이는 라우터 감염의 징후로 볼 수 있다. 또한 위와 같이 피싱 사이트에 접속된 경우 HTTPS 암호화가 표시되지 않은 경우라면 이 역시 위험하다는 신호다. 또한 SSL 제거(SSL striping) 수법은 전송 중인 데이터의 암호화를 제거해 버릴 수도 있다. 물론 악성 DNS 서버는 모든 요청에 일일이 응답하지는 않으며 대부분의 요청을 시간초과 처리하여 요청자에 대한 본래 ISP의 기본 DNS 서버로 접속을 이동시키지만 일부 요청이라도 자체적으로 별도 입력된 악성 URL로 이동시킨다는 것이 문제다.

 

 

확인방법 및 조치

라우터의 웹기반 인터페이스에 접속하면 라우터의 설정 현황을 확인할 수 있다. 라우터 사용자이름과 암호를 통해 접속하여 DNS 설정을 확인한다. 만약 설정이 자동(automatic)으로 돼 있다면 DNS 요청이 기본 ISP를 경유하기 때문에 염려하지 않아도 된다. 반대로 수동(manual) 상태로 돼 있으며 별도의 DNS 서버가 입력된 상태라면 문제가 될 수 있다. DNS 서버 변경은 라우터 해킹의 징후로 볼 수 있기 때문이다. 물론 별도의 DNS 서버가 구글 DNS(8.8.8.8, 8.8.4.4) 또는 OpenDNS(208.67.222.222, 208.67.220.220)처럼 건실한 DNS 서버라면 문제가 안 되지만 이렇게 잘 알려진 DNS 서버가 아닌 생소한 서버 주소가 보인다면 맬웨어가 주소를 변경했을 가능성이 있으며 이를 확실히 하려면 해당 주소를 웹에서 검색해 보면 된다. 만약 주소가 0.0.0.0인 경우는 공백으로 처리되어 DNS 설정이 자동으로 이루어지기 때문에 문제가 없다. 전문가들은 이러한 확인이 주기적으로 해 주는 게 좋다고 한다.



 

위와 같이 확인한 결과 악성 DNS로 설정된 경우라면 ISP로부터 자동으로 DNS를 받도록 설정하거나 구글 DNS와 같이 신뢰할 수 있는 DNS 주소를 입력하면 된다. 또는 라우터 설정을 완전히 초기화하는 방법도 있다.


 

 

라우터 보안 강화 방법

펌웨어 업데이트 라우터 펌웨어는 항상 최신으로 유지돼야 한다. 만약 라우터에 펌웨어 자동업데이트 기능이 있다면 이를 사용하는 방법이 제일 좋지만 라우터 대부분은 이러한 자동업데이트 기능을 가지고 있지 않다.

원격접속 해제 라우터 웹기반 관리페이지에 대한 원격접속을 차단한다.

암호 변경 라우터 웹기반 관리페이지 비밀번호를 변경하여 초기 비밀번호 단계에서 뚫리는 일이 없도록 한다.

UPnP 기능 해제 UPnP는 그 자체로 취약성이 있으며 라우터 자체 UPnP에 문제가 없더라도 로컬네트워크 어딘가에 맬웨어가 있다면 UPnP를 사용하여 DNS 서버를 변경시킬 수 있다. UPnP는 로컬 네트워크 내부에서 발신되는 요청은 전부 신뢰하기 때문이다.

 

한편 DNSSEC 기능은 본래 도메인 접속에 대한 추가 보안대책이지만 이 경우에는 큰 효용이 없다. 실제로 클라이언트PC는 설정된 DNS 서버를 신뢰하는 데 그칠 뿐이다. 악성 DNS 서버의 입장에서는 자기네 DNS 기록이 DNSSEC에 등록되지 않았다고 주장하거나 IP주소가 진정하다고 주장하면 그만이다.


 

 

 

Chris Hoffman, How to Check Your Router for Malware, 8. 31. 2015.

http://www.howtogeek.com/227384/how-to-check-your-router-for-malware/

 

번역요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.06.23 14:06

위로가기