맥용 사파리나 구글 크롬으로 네이버에 접속했는데 뜬금 없이 금융감독원 보안 인증창이 뜨지 않으십니까? 또는 은행이나 증권 사이트에 접속했는데 "현재 방문하신 홈페이지는 **를 사칭한 변조사이트입니다"라는 문구가 튀어나오지는 않으십니까?
맥은 바이러스가 걸리지 않는다는 얘기를 철석 같이 믿었는데 그게 아닌 것 같다며, 백투더맥 방명록과 이메일을 통해 많은 분들이 이와 관련된 문의를 주셨는데요, 금시초문이라 의심반 궁금증반으로 맥 관련 매체와 포럼을 검색해 봤지만 딱히 뚜렷한 이유와 관련 정보를 찾을 수 없었습니다. 한 명도 아니고 십수 명의 맥 사용자가 똑같은 악성코드에 걸렸다면 분명 맥 관련 매체들이 앞다튀 대서특필했을 텐데 말이죠.
그런데 애초에 검색 키워드와 범위를 잘못 잡았던 것 같습니다. 전 세계 맥 사용자들 사이에서 공통적으로 나타나는 문제가 아니라 국내 사용자들이 주로 겪고 있는 문제이며, 또 맥 뿐만 아니라 윈도우, 안이드로이드폰, 심지어 리눅스와 아이폰에서도 나타나는 이슈였던 것입니다. 의외로 답은 가까이 있었는데 멀리서 찾고 있었던 것이죠.
만일 이와 유사한 문제를 겪고 계신다면 맥이 아니라 현재 사용하고 계신 공유기를 한번 살펴보시기 바랍니다. "공유기 DNS 파밍"이라고 해서 최근 공유기의 취약점을 통해 가짜 포털 사이트로 접속을 우회시키거나 악성 앱 설치를 유도하는 해킹 수법이 유행처럼 번지고 있다고 합니다.
* Image Credit: computerworld.au
DNS 서버... 즉 웹 브라우저 주소창에 "naver.com"과 같은 도메인 이름을 입력하면 통신회사의 "믿을 수 있는" DNS 서버에 질의를 보내 실제 IP 주소(125.209.222.141)를 받아오는데요, 악성코드에 감염된 공유기는 가짜 DNS 서버에 접속해 엉뚱한 주소를 받아와 개인정보를 탈취하는 사이트를 띄운다고 합니다. 공유기에 문제가 생기니 그 아래 물려있는 모든 컴퓨터, 네트워크 기기에서 같은 문제가 발생하는 것이죠.
"악성코드 감염을 통해 네트워크 설정 중 DNS 서버 주소를 변경해 포털 사이트 접속시 금융감독원 보안 인증창을 생성하는 행위가 포착돼 이용자들의 각별한 주의가 요구된다.
보안블로그 ‘울지않는 벌새’는 블로그에 “감염 이후, 사용자가 팝업창에서 표시한 금융기관 접속시 가짜 은행 사이트로 접속을 유도해 금융 정보를 탈취하며, 추가적인 액티브X 설치를 통해 백도어에 감염되는 문제가 발생할 수 있다”고 경고했다..."
[데일리시큐]
현재 ipTIME, SK 브로드밴드, 액슬러, LG U+, 현대HCN 등 메이커를 불문하고 파밍 공격이 감행되고 있다고 하는데요, 이때는 공유기를 초기화하는 것으로 문제를 해결할 수 있다고 합니다. 또한, 공유기에 최신 펌웨어를 설치하고 보안설정을 강화해 같은 문제가 재발하는 것을 방지해야 합니다. 공유기 업체들도 그 심각성을 인지하고 관련 공지와 신규 업데이트를 하나둘 내놓고 있습니다.
공유기 브랜드마다 기기를 초기화하고 설정을 변경하는 방법이 차이가 있는데, 아래 링크에 브랜드 별로 자세히 정리되어 있으니 참고하셔서 문제를 깨끗히 해결하시기 바랍니다. 또는 사용하고 계신 공유기의 브랜드와 모델명을 확인해 공식 홈페이지에 있는 자료를 참고하시는 것도 좋습니다.
이제는 하다하다 공유기마저 해킹 위험에 노출되는 시대가 찾아왔습니다.
➥ 공유기 취약점을 통한 DNS값 변조로 인해 포털 페이지에 악성 앱 또는 파밍 페이지가 표시될 때 조치 방법
참조
• 데일리시큐 - DNS 서버 주소 변경 통한 파밍 사이트로 연결...주의
• 다음(Daum), 네이버(Naver) 모바일 접속시 변조 사이트 메시지 생성 주의 (2014.5.23)