트렌드

신상털이 앱, 공유기 타고 폰에 침투한다

2014.04.28

스마트폰을 노리는 악성 앱이 기승을 부리고 있다. 교묘한 문자메시지를 보내 앱을 설치하도록 하는 것을 넘어 가장 안전하다고 믿는 앱을 가장한 가짜 앱까지 나오고 있다. 인터넷진흥원(KISA)도 비껴가지 않았다.

이미 백신을 가장한 가짜 앱이나 은행앱 대신 깔려 은행과 관련된 개인정보를 싹 훔쳐가는 앱이 적잖다. 그런데 그 침투 경로가 독특하다. 가정이나 소규모 기업에서 흔히 쓰는 인터넷 공유기다.

인터넷진흥원이 밝힌 악성 앱은 KISA 보안 앱인 ‘폰키퍼’의 모양을 하고 있다. 이 앱은 여느 악성 앱처럼 스마트폰에 담긴 연락처나 메시지 등 모든 정보를 끌어낼 수 있고, 다른 악성 앱을 추가로 설치할 수 있는 창구 역할도 한다. 앱 자체는 특별할 것도 없다. 요즘은 앱을 얼마나 많은 스마트폰에 설치할 수 있느냐가 악성 앱의 ‘죄질’을 따지는 지표다.

smart_phone_img_600

악성 앱에 대한 경고가 늘어나면서 링크를 타고 들어가 앱을 설치하는 경우는 많이 줄었다. 동창회를 사칭하거나 세월호 사고를 빙자한 악성 앱이 퍼지는 것도 사람들의 관심을 끄는 소재로 링크를 누르는 것을 유도하기 위한 미끼다. 이번에 알려진 악성 앱은 가장 안전하다고 생각하는 인터넷진흥원의 보안 앱을 가장했기 때문에 일단 설치 화면을 띄우면 어느 정도 성공했다고 볼 수 있다.

그 경로에 인터넷 공유기가 쓰인다. 해커는 관리자 접속 비밀번호를 잠그지 않거나 ‘0000’, ‘1111’처럼 알기 쉬운 암호로 등록돼 보안이 허술한 공유기를 이용한다. 일단 공유기를 뚫으면 다음 방법은 간단하다. 원격으로 접속해 공유기의 기본 접속 DNS를 악성 웹사이트로 연결하도록 설정을 변경한다. 스마트폰이 공유기에 접속해 인터넷을 쓰려고 하면 해커가 등록한 DNS 서버를 우선적으로 거치는데, 이 안에 처음에 설명한 악성 앱 설치 파일을 등록한다.

자연스레 스마트폰은 APK 설치 파일을 내려받을지 묻고, 이용자는 이를 인터넷진흥원이 직접 배포하는 보안 앱 업데이트로 알아채 ‘설치’ 버튼을 누르게 마련이다. 일단 악성 앱이 스마트폰에 자리잡은 뒤엔 다른 악성 앱이 침투한 것과 비슷하게 움직인다.

공유기는 어떻게 공격하는 걸까. 직접 물리적으로 해당 공유기 가까이에서 침투할 수도 있지만, 멀리 떨어져 있어도 가능하다. 요즘 나오는 공유기는 점점 기능이 많아지면서 외부에서도 IP 주소나 별도 DNS 서버를 통해 직접 공유기에 접속할 수 있다. 원격 관리자 접속도 된다. 집에 있는 PC에 접근하거나 NAS, 심지어 공유기에 직접 USB 포트로 하드디스크를 연결하는 기능들이 쓰이기 때문이다. 공유기 원격 접속에 성공하면 공유기의 제어판을 그대로 가져올 수 있고, 사설 네트워크 등을 설정하기 위한 DNS 서버 주소를 변경하는 건 식은 죽 먹기다.

피해를 막으려면 당연히 공유기의 비밀번호를 좀 더 복잡하게 바꾸는 것이 우선이다. 인터넷진흥원은 공유기에서 ‘원격 관리 접속’ 기능을 끄는 것도 추천했다. 원격 관리 기능을 끄면 아예 외부에서 공유기에 접속하는 것 자체가 차단되기 때문에 원격 해킹을 차단하는 데 효과적이다.

아직도 공유기를 편하게 쓰기 위해 비밀번호를 걸지 않고 무선랜을 열어두고 쓰는 경우가 많고, 이번 위협처럼 공유기 관리자 접속 모드로 들어가는 비밀번호조차 손대지 않는 경우도 흔하다. ‘누가 뭘 가져가겠어?’라고 생각할 수 있지만 마음만 먹으면 공유기를 손대는 것만으로 온 가족의 연락처 정보부터 인터넷뱅킹 정보까지 빼내는 건 물론이고, 심지어 스마트폰을 도청장치나 몰래카메라로 둔갑할 여지도 충분하다. 인터넷 공유기 관리자 비밀번호는 대부분 ‘admin’이다.

allove@bloter.net

모바일 컴퓨팅에 대해 어떤 것이든 이야기 나누고 싶습니다. e메일 allove@bloter.net