맥이 바이러스에 걸렸다? 맥에서 네이버 또는 다음에 접속했는데 금융감독원 팝업창이 뜬다면...

2014. 5. 27. 00:42    작성자: ONE™

맥용 사파리나 구글 크롬으로 네이버에 접속했는데 뜬금 없이 금융감독원 보안 인증창이 뜨지 않으십니까? 또는 은행이나 증권 사이트에 접속했는데 "현재 방문하신 홈페이지는 **를 사칭한 변조사이트입니다"라는 문구가 튀어나오지는 않으십니까?

맥은 바이러스가 걸리지 않는다는 얘기를 철석 같이 믿었는데 그게 아닌 것 같다며, 백투더맥 방명록과 이메일을 통해 많은 분들이 이와 관련된 문의를 주셨는데요, 금시초문이라 의심반 궁금증반으로 맥 관련 매체와 포럼을 검색해 봤지만 딱히 뚜렷한 이유와 관련 정보를 찾을 수 없었습니다. 한 명도 아니고 십수 명의 맥 사용자가 똑같은 악성코드에 걸렸다면 분명 맥 관련 매체들이 앞다튀 대서특필했을 텐데 말이죠.

그런데 애초에 검색 키워드와 범위를 잘못 잡았던 것 같습니다. 전 세계 맥 사용자들 사이에서 공통적으로 나타나는 문제가 아니라 국내 사용자들이 주로 겪고 있는 문제이며, 또 맥 뿐만 아니라 윈도우, 안이드로이드폰, 심지어 리눅스와 아이폰에서도 나타나는 이슈였던 것입니다. 의외로 답은 가까이 있었는데 멀리서 찾고 있었던 것이죠.

만일 이와 유사한 문제를 겪고 계신다면 맥이 아니라 현재 사용하고 계신 공유기를 한번 살펴보시기 바랍니다. "공유기 DNS 파밍"이라고 해서 최근 공유기의 취약점을 통해 가짜 포털 사이트로 접속을 우회시키거나 악성 앱 설치를 유도하는 해킹 수법이 유행처럼 번지고 있다고 합니다. 

* Image Credit: computerworld.au

DNS 서버... 즉 웹 브라우저 주소창에 "naver.com"과 같은 도메인 이름을 입력하면 통신회사의 "믿을 수 있는" DNS 서버에 질의를 보내 실제 IP 주소(125.209.222.141)를 받아오는데요, 악성코드에 감염된 공유기는 가짜 DNS 서버에 접속해 엉뚱한 주소를 받아와 개인정보를 탈취하는 사이트를 띄운다고 합니다. 공유기에 문제가 생기니 그 아래 물려있는 모든 컴퓨터, 네트워크 기기에서 같은 문제가 발생하는 것이죠.

"악성코드 감염을 통해 네트워크 설정 중 DNS 서버 주소를 변경해 포털 사이트 접속시 금융감독원 보안 인증창을 생성하는 행위가 포착돼 이용자들의 각별한 주의가 요구된다.

보안블로그 ‘울지않는 벌새’는 블로그에 “감염 이후, 사용자가 팝업창에서 표시한 금융기관 접속시 가짜 은행 사이트로 접속을 유도해 금융 정보를 탈취하며, 추가적인 액티브X 설치를 통해 백도어에 감염되는 문제가 발생할 수 있다”고 경고했다..."

[데일리시큐]

현재 ipTIME, SK 브로드밴드, 액슬러, LG U+, 현대HCN 등 메이커를 불문하고 파밍 공격이 감행되고 있다고 하는데요, 이때는 공유기를 초기화하는 것으로 문제를 해결할 수 있다고 합니다. 또한, 공유기에 최신 펌웨어를 설치하고 보안설정을 강화해 같은 문제가 재발하는 것을 방지해야 합니다. 공유기 업체들도 그 심각성을 인지하고 관련 공지와 신규 업데이트를 하나둘 내놓고 있습니다.

공유기 브랜드마다 기기를 초기화하고 설정을 변경하는 방법이 차이가 있는데, 아래 링크에 브랜드 별로 자세히 정리되어 있으니 참고하셔서 문제를 깨끗히 해결하시기 바랍니다. 또는 사용하고 계신 공유기의 브랜드와 모델명을 확인해 공식 홈페이지에 있는 자료를 참고하시는 것도 좋습니다. 

이제는 하다하다 공유기마저 해킹 위험에 노출되는 시대가 찾아왔습니다.

공유기 취약점을 통한 DNS값 변조로 인해 포털 페이지에 악성 앱 또는 파밍 페이지가 표시될 때 조치 방법



참조
데일리시큐 - DNS 서버 주소 변경 통한 파밍 사이트로 연결...주의
• 다음(Daum), 네이버(Naver) 모바일 접속시 변조 사이트 메시지 생성 주의 (2014.5.23)


    
  1. 이전 댓글 더보기
  2. Blog Icon
    헤어포스원짱

    공유기에 암호를 걸어놔도 너무 흔한 암호는 걸리더군요. 1234.. 같은. 이용자가 너무 많은 공유기도 그렇구요. 다음엔 저도 애플 에어포트로 살려구요.

  3. Blog Icon
    모노마토

    이래서 에어포트를 사야하는겁니다. ㅋ

  4. Blog Icon
    urisnov

    여러 카페들을 보면 WEVO공유기에서 두드러지게 나타나는 듯 합니다.
    신제품인데 아뒤, 비번을 넣으라고 하질 않나.. 위의 말씀같이 파밍이나요...

  5. Blog Icon
    데커드

    허!...역시...뛰는 경찰위에 나는 도둑이라더니...

    공유기를 터는군요 이제........

  6. Blog Icon
    T

    에어포트를 쓰고 있으면 '그나마' 안전하다는 말씀으로 정리해도 될까요? :)

  7. Blog Icon
    oyster

    아.....
    그래서 비싼 공유기 쓰는 이유가 있군요.
    어제 보이스피싱전화가 저한테도 오더군요.
    얼마나 성질이 나던지....

    정말...요즘 다 털리는 시대입니다 ;;;

  8. Blog Icon
    sleeping

    감사합니다 ㅜㅜ ....원님 만능 해결사이신것 같아요.

  9. 이거 쾌 심각합니다. 특히 고성능 리눅스 기기들을 노리는 비트코인 채굴(?) 바이러스도 있었습니다 공유기 나스등을 좀비로 만들어 비트코인 채굴하게 하는거죠. 앞으론 공유기 보안이 매우 중요할듯 합니다

  10. Blog Icon
    공유기털이범

    우아... 공유기도 털수가 있네요... 좋은정보 알아갑니다.

  11. Blog Icon
    재구

    공유기를 이용하는 스마트 기기들을 생각하면 공유기의 안전을 챙기는 것이 필수입니다만, 컴퓨터에 한에서라면 DNS서버를 수동으로 설정하는 것으로 저런 공격을 피할 수 있고, DNScrypt라는 프로그램을 사용하면 좀 더 안전하게 DNS서비스를 이용할 수 있습니다. DNScrypt는 DNS서버와의 암호화된 보안 연결을 만들어 중간에서 장난치지 못하도록 도와주거든요.
    http://www.opendns.com/about/innovations/dnscrypt/

  12. Blog Icon
    Gemini

    AEBS라서 햄볶아요~

  13. Blog Icon
    김대리

    저의 경우(맥)에는 유튜브에 접속하니 올레 로고가 들어간 경고팝업(PC가 악성코드에 감염된 것 같다는)이 나왔습니다.
    혹시 몰라 공유기 초기화 했네요ㅠㅠ 저와 같은 증상있으신 분 있나요?

  14. Blog Icon
    샙이

    에어포트는 역시 안전한 기기인가요?ㅋㅋ

  15. 저도 타임캡슐을 써서 안걸리는 거겠지만, 1차적으로 통신사에서주는 모뎀을 거치는데 어떤지 모르겠네요. 통신사 공유기도 또 따로 쓰는데 업뎃해야겠어요.

  16. Blog Icon

    아 짜증나 저는초기화했는데 또걸렸어요 ㅡㅡ 죽여버리고싶네 증말

  17. Blog Icon
    김성태

    앗 제이야기네요..감사합니다..예상은 했었는데..진짜로..공유기 문제일수가.

    어쩐지..폰..핫스팟을 연결하면..잘되더라구요..

  18. Blog Icon
    맥맥맥

    저도 당황해서 왜그러나 햇는데, 역시나 공유기가 문제 있었나 봅니다. 집 주변 와이파이 되는거 잡아서 썻는데,, 이럴 수가, 핫스팟으로 하니 잘되네요ㅜㅜ 이제 아무 와이파이나 쓰면 안되겟네요

  19. Blog Icon
    즐겁도록

    이 글을 우연히 읽고 나서 불과 이틀만에
    팝업이 다른경로로 연결되는 현상을 격고 당황했습니다.
    지금 공유기 업데이트를 했지만..
    블로그 글쓰기에서 사진업로드 팝업창을 눌리면 여전히 다른경로로 연결이 되서 더 당황하고 있는중입니다..
    이거 어떻게하죠..ㅋㅋㅋ 멘붕

  20. Blog Icon
    즐겁도록

    http://canadaalltax.com/z/?f=rTw5vTsHqS55pc5FrjtXrjnErTaGqdg6pa%3D%3D&eid=33&hid=0&pid=1&rf=http%3A%2F%2Fwww.adcash.com%2Fscript%2Fpop_packcpm.php%3Fk%3D5391ab0cd76ba1156714.1466871%26h%3Dc75c8c23f6971a1109ffeaaffc549560a4bdab41%26id%3D0%26ban%3D1156714%26r%3D151018%26ref%3Dh%26data%3D%26subid%3D%26new%3D1%26dx%3D%253D%253DQN&s=px.pluginh&r=0.6863604800309986
    팝업이 이 주소로 연결됩니다.. 이거 사이트도 막 바뀌고 난리네요ㅋㅋ

  21. Blog Icon
    즐겁도록

    해결됬습니다.
    구글크롬 확장자 문제였군요
    좋은글 잘보고갑니다!