메뉴 건너뛰기

오에스매니아

해커들 귀가 쫑긋! DNS 하이재킹 선호도가 높아지는 이유
 입력날짜 : 2017-03-29 16:15
  
 
트위터 보내기  페이스북 보내기  네이버 밴드 보내기  싸이월드 공감 보내기  카카오 스토리 보내기  구글 보내기   
일확천금 몸값보다 지속적인 수입 보장하는 광고 하이재킹에 공격 몰려

[보안뉴스 원병철 기자] 최근 중국을 비롯해 북한 등 다양한 국가의 해커가 한국 웹사이트를 공격하고 있다. 그중에서도 본지에서 보도한 바 있듯 인터넷 뱅킹을 노린 DNS 변조 파밍 등 DNS를 대상으로 한 공격이 늘어나고 있는데, 그 이유는 무엇일까? 

001(560).jpg

ICT 보안서비스 전문기업 한국통신인터넷기술에서 제공한 ‘F-Secure 2016 Threat Report’에 따르면, DNS 하이재킹은 공격자에게 솔깃한 공격 방식이다. 이 공격을 받은 피해자들은 대개 시스템 손상을 알아채지 못하며, 공격 자체를 보안업체가 정확하게 파악하기도 곤란하기 때문이다.

DNS 하이재킹 공격은 크게 두 가지 부류인데, △공격자에 의한 컴퓨터의 DNS 설정 변경(멀웨어 소프트웨어 또는 잠재적 유해 응용 프로그램인 PUA에 의함) △공유기 설정 변경(공유기와 연결된 모든 장비가 악성 DNS 서버로 향하는 거짓 설정을 수신함을 의미)이다. 공격자는 관리자 인터페이스의 로그인 패스워드를 알아내거나(사람들은 대개 공유기 초기 설정을 그대로 유지하므로 흔히 사용되는 방법이다), 공유기 소프트웨어의 취약점을 이용해 공유기를 해킹한다.

일단 DNS 설정이 변경되면, 공격자는 다양한 악의적인 행동을 취할 수 있다. 예를 들면, DNS 하이재킹 피해자가 트로이목마에 감염된 온라인 뱅킹 서비스에 접속하게 되면, 공격자는 패스워드를 갈취하거나 서비스 과정에 개입할 수 있게 된다.

또한, 피해자는 트로이목마에 감염된 소셜미디어 사이트에 접속함으로써 로그인 패스워드가 유출되어 개인정보 수집이나 신원도용에 악용될 수도 있다. 마지막으로 불법 DNS 서버는 피해자가 방문하는 합법적인 웹사이트의 광고도 변조할 수 있다. 변조된 광고는 약간 공격적인 것(팝업 광고, 팝언더 광고 등)부터 사용자가 예기치 않은 내용(음란물 사이트 광고, 비아그라 등), 심지어 사용자가 해서는 안 될 행동을 유도(컴퓨터가 감염됐으며 치료 사이트에 접속하라는 팝업)하는 광고까지 아주 다양하다.

F-Secure의 백엔드 시스템 자료에 의하면 전체 고객의 98%가 인터넷 서비스 공급자(ISP)의 DNS 서버를 사용하고 있다. 나머지 2% 중 절반은 공공 DNS 서버(구글 DNS와 같은)를, 나머지 절반은 ‘비공식’ 공개 DNS 서버를 사용하고 있는 것으로 드러났다. 

분석결과에 따르면, 마지막 1%가 사용하는 공개 DNS 서버는 대부분 합법적인 공개 DNS 서버로 밝혀졌다. 그 사용자의 10%~20%만이 사실상 불법 DNS 서버로 연결되는 것으로 추정된다. 따라서 전체 고객의 0.1%에서 0.2%가 DNS 하이재킹 공격을 받는 것으로 추정된다. 대다수는 라우터 하이재킹이 아닌 윈도우 멀웨어/PUA 캠페인에 의한 것으로 밝혀졌다.

DNS Unlocker와 Looksafe 관련 활동이 F-Secure가 파악하고 있는 하이재킹 중 시장점유율이 가장 높다. 앞서 말한 바와 같이, 악성 DNS 서버는 식별하기가 어렵다. 의심스러운 DNS 서버의 주소 중 손상된 사이트로 재접속된 주소를 검색해 복귀하는 IP 주소를 확인한다 하더라도 대부분의 경우 결정적인 증거를 확보할 수 없다. 

광고차단 프로그램이 사용하는 합법 DNS 서버일지라도 불법 서버처럼 보이는 경우도 있다. 안전하다고 평판이 난 서버도 공격자가 오염시켰을 수 있는데, 구별하기도 쉽지 않다. DNS 하이재킹의 배후 역할을 하는 이가 이 사실을 알고 악용할 가능성도 있다.

003(97).jpg


파악된 불법 DNS 서버의 대부분은 광고 하이재킹에 활용된다. 어떤 방식으로 하는 것일까? 위에서 설명한대로, 피해자 장비의 DNS 설정이 변경되어 손상된 DNS 서버에 접속되고, 손상된 서버는 google-analytics.com 같은 대체용 IP 주소를 제공한다. 그 다음 손상된 사이트는 브라우저가 기다리는 회신에 자바스크립트를 실행시켜 구글이 관장하지 않는 대체 또는 추가 광고가 피해자의 브라우저에서 실행되도록 하는 것이다. 공격자는 피해자가 검색하는 페이지에 광고가 뜨는 보상을 받는 방식이다.

DNS 하이재킹 피해자의 은행계좌에서 돈이 빠져 나가든지, 소셜미디어 계정이 멀웨어를 내보내기 시작한다든지 하게 되면, 피해자는 꽤 빠르게 하이재킹 사실을 알아차리고 문제를 해결할 수 있게 된다. 즉, 공격자가 피해자의 컴퓨터를 손상시키는데 투자한 시간은 단기적으로 보상받을지는 모르지만 꾸준한 수입을 가져다 주지는 않는다는 사실이다. 

반면에 광고 하이재킹으로 공격자는 꾸준히 현금을 챙길 수 있고, 피해자가 거의 알아채지 못하기 때문에 계속 감시망을 벗어나 수입을 올릴 수 있다.

결론적으로, DNS 하이재킹에 연루된 범죄자들은 영악하게도 일확천금보다는 꾸준하고 은밀한 수입을 선호하는 것으로 보인다.


출처:http://www.boannews.com/media/view.asp?idx=54022&page=1&kind=5

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
profile

shaula

2017.03.30 10:00

역시 나쁜쪽으로는 머리가 잘돌아간다는....

profile

Bobono

2017.03.30 11:33

좋은 정보 고맙습니다.

profile

프리네

2017.03.30 23:58

실속은 챙기겠다네요....대단들 하네요.

profile

hallasan

2017.04.09 13:51

감사합니다

profile

대공

2017.09.02 15:13

대단한

List of Articles
번호 제목 글쓴이 날짜 조회 수
공지 보안 게시판 신설 file + 8 Op 2016-10-16 117
244 바이러스 ASEC이 분석한 바이러스, 스파이웨어, 유해가능 프로그램, 모바일 악성코드 정보 바이러스 Trojan/Win32.Gamarue.C1893551 + 5 ordo 04-09 107
243 보안 소식 VMware 보안 업데이트 권고 + 6 ordo 04-09 51
242 보안 소식 시스코社 제어시스템 전용라우터 중대 취약점 발견 + 6 ordo 04-09 29
241 바이러스 ASEC이 분석한 바이러스, 스파이웨어, 유해가능 프로그램, 모바일 악성코드 정보 PUP/Win32.GoodsFind.C1905968 + 5 ordo 04-09 41
240 보안 소식 [아주포스트] 여기어때, 이런건 소 잃고 외양간 고치지 맙시다 + 8 오에스유 04-09 40
239 보안 소식 2019년 POS 전용 운용체계(OS) 서비스 종료...결제단말기 해커 놀이터 '표적' + 6 ordo 04-09 40
238 보안 소식 개인정보 유출 주의보…10명중 6명 “유출경험” + 6 오에스유 04-09 37
237 보안 소식 국방부의 해킹 대응, 아쉬운 컨트롤타워 역할 + 5 ordo 04-09 15
236 보안 소식 글로벌 보안 솔루션 웹사이트 통한 악성코드 유포 정황 포착 + 3 ordo 04-09 14
235 일반 작년은 랜섬웨어의 시대, 올해는 랜섬웨어 상품화의 시대 + 12 ordo 04-08 79
234 보안 소식 [4.7 버그리포트] CVE-2015,2016,2017 + 8 ordo 04-08 38
233 보안 소식 [긴급] 공유기 DNS 변조 악성앱 다시 기승...계정 탈취 시도 + 6 ordo 04-08 134
232 일반 국제해킹방어대회·글로벌 보안 컨퍼런스 ‘코드게이트 2017’ 개최 + 7 ordo 04-07 94
231 보안 소식 중국 해커의 쉬운 먹잇감 되고 있는 한국의 대학들 + 6 ordo 04-07 76
230 보안 소식 [4.6 버그리포트] CVE-2017 + 5 ordo 04-07 14
229 보안 소식 “해외 카드결제 승인됐습니다” 직구족 겨냥 스미싱공격 발견 + 5 크로커스 04-07 78
228 보안 소식 시만텍과 구글, 한국전자인증의 인증서 소동...팩트는 이것 + 5 ordo 04-06 146
227 보안 소식 中 3월 주요 바이러스와 피싱 사이트 + 5 ordo 04-06 21
226 보안 소식 [4.5 버그리포트] CVE-2016,2017 + 6 ordo 04-06 18
225 보안 소식 이번엔 인도네시아 해커의 공습? 21개 웹사이트 디페이스 공격 + 5 ordo 04-06 53
224 보안 소식 이스라엘 보안전문가가 삼성 타이젠 OS에서 심각한 보안 취약점을 발견했다 + 5 프리네 04-05 56
223 보안 소식 [긴급] 이력서로 위장한 악성코드 유포...개인정보 탈취 + 5 ordo 04-05 42
222 보안 소식 [4.4 버그리포트] CVE-2017 + 3 ordo 04-05 20
221 보안 소식 방글라데시 은행 해킹 용의자 ‘Lazarus’가 북한? + 4 ordo 04-05 14
220 일반 몰지각한 10대들의 돈벌이 해킹에 보안 전문교육 ‘불똥’ + 4 ordo 04-05 67
위로