[아이뉴스24 성지은기자] 안드로이드 기기 사용자를 숙주 삼아 인터넷 공유기(Wi-Fi 라우터)를 해킹하고, 이 공유기에 연결된 기기를 피싱공격 등에 노출시키는 악성코드가 등장했다.
5일 카스퍼스키랩은 이 같은 악성코드인 스위처(Switcher) 트로이목마가 등장했다며 주의를 당부했다.
스위처 트로이목마는 안드로이드 기기 사용자를 매체로 삼아 인터넷 공유기를 감염시킨다. 이후 기존 DNS(Domain Name System)를 악성 DNS로 교체하고, 공유기와 연결된 기기를 해커가 제어하는 웹사이트로 접속하게 만든다. DNS는 'xxx.com'과 같이 문자로 구성된 웹 주소를 숫자로 이뤄진 IP(Internet Protocol) 주소로 변환하는 서비스다.
스위처 트로이목마는 해커가 운영하는 웹사이트에서 악성코드를 내려받는 식으로 감염된다. 악성코드는 중국 검색엔진 바이두의 안드로이드 클라이언트, 와이파이 네트워크 정보를 공유하는 중국어 앱(万能钥匙)으로 위장했다.
카스퍼스키랩에 따르면, 현재까지 스위처 트로이목마에 감염된 무선 네트워크는 중국을 중심으로 1천280개에 달하는 것으로 알려졌다. 잠재적으로 이들과 연결된 모든 기기가 스위처 트로이목마에 감염될 위험에 처한 것.
감염을 방지하기 위해 공유기의 DNS 설정을 점검하고 악성 DNS 서버가 있는지 확인할 필요가 있다. DNS 설정에서 ▲ 101.200.147.153 ▲ 112.33.13.11 ▲ 120.76.249.59 같은 서버가 하나라도 발견되면, 이용 중인 인터넷 서비스 공급업체에 지원을 요청하거나 공유기 소유자에게 알려야 한다.
스위처 트로이목마 같은 악성코드의 공격 가능성을 차단하기 위해 공유기 관리자는 관리자 페이지의 아이디와 암호를 변경할 필요가 있다.
이창훈 카스퍼스키랩코리아 지사장은 "스위처 트로이목마는 라우터를 공격해 연결된 기기를 공격하는 새로운 경향의 공격수법"이라며 "이 트로이목마는 네트워크 전체를 표적삼고 개인 사용자든 기업 사용자든 가릴 것 없이 네트워크에 연결된 모든 사용자를 피싱 등에 감염시켜 위협에 노출시킨다"고 말했다.
이어 "일단 공격이 이뤄지면 탐지가 쉽지 않으며 제어는 더더욱 어렵다. 변조된 설정은 라우터를 재시작해도 원래대로 돌아가지 않고 설령 악성 DNS가 비활성화되도 보조 DNS서버가 작동하기 때문"이라며 "라우터와 와이파이 네트워크의 취약점을 간과해서는 안 된다"고 강조했다.
성지은기자 buildcastle@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기