2016 년 말 Linux를 탑재 한 IoT 기기를 노리는 "Mirai"( "ELF_MIRAI '제품군으로 검출)에 따르면 대규모'분산 서비스 거부 (DDoS) '공격이 많은 피해를 발생 시켰습니다

이러한 사례는 '사물의 인터넷 (Internet of Things, IoT)'의 에코 시스템이 작동하지 않은 사실을 밝혀했습니다. Mirai는 더욱 확산 범위를 확대 할 수 있도록, 

이번에는 Windows PC를 발판으로하는 기능을 도입 해 다시 주목을 받고 있습니다.

"Mirai와 같은 악성 코드를 이용한 DDoS 공격의 증가"를 지적하고 있습니다 만, 이번 입수 한 Windows 용 악성 코드 ( " BKDR_MIRAI.A "로 검색)은 Mirai 같은 기능을 가진 것은 아닙니다. 

Mirai 운반자 인 Linux 장비를 찾아 Mirai 본체를 확산시켜 결국 Mirai 봇넷을 확대시키는 것을 목적으로 한 것입니다. 

지금까지 Mirai는 특정 범위의 IP 주소에 대해 무력 (무차별) 공격을하고 자신의 봇넷을 확대하고있었습니다. 앞으로는이 " BKDR_MIRAI.A "는 Windows 환경에서도 

"Mirai"봇넷이 확대되게됩니다.

BKDR_MIRAI.A "는 명령 및 제어 (C & C) 서버에 연결하여 스캔하는 IP 주소 목록을받습니다. 시스템에 로그인 할 경우 감염 단말기 및 장비의 운영 체제 (OS)를 확인합니다. 

Linux 기기 인 경우는 거기에 악성 코드 Mirai을 만들고 새 봇으로 이용합니다. 기기의 OS가 Windows 인 경우, 악성 코드, 거기에 자신의 복사본을 생성하고 Linux 장치의 탐색을 계속합니다. 

악성 코드는 Linux 및 Windows 용의 2 종류의 악성 코드를 작성합니다.

2016 년 8 월에 처음 확인됐다 "Mirai"은 Linux의 펌웨어를 탑재 한 IoT 기기 (라우터, 디지털 비디오 레코더 (DVR), 프린터, 감시 카메라 등)를 대상으로하고있었습니다. 

이러한 IoT 기기를 감염시키기 위해 악성 코드는 무작위로 IP를 선택하고 기본 관리 인증 정보를 시도하고 포트 7547과 5555 (TCP / UDP), 23 (Telnet), 22 (SSH)를 통해 장비를 탈취합니다. 

Mirai 공격은 소스 코드가 2016 년 10 월에 공개 된 이후 증가하고 있습니다. 대기업 Web 사이트 'Netflix', 'Reddit」, 「Twitter」, 「AirBnB "등의 공격과 

독일의 주요 ISP 「Deutsche Telekom (독일 통신업체)'의 90 만대의 가정용 라우터에 영향을 준 사례 는 Mirai 변종이 이용 되고있었습니다.

그림 1 :
그림 1 : Windows를 노리는 악성 코드가 포트 스캔 코드

Windows를 노리는 악성 코드는 Linux를 노리는 첫 번째 Mirai보다 많은 포트가 추가되어 있으며, 공격 대상을 최대한 확대하고 있습니다. 악성 코드는 다음 포트가 열려 있는지 여부를 확인합니다.

  • 22 (SSH)
  • 23 (Telnet)
  • 135 (DCE / RPC)
  • 445 (Active Directory)
  • 1433 (MSSQL)
  • 3306 (MySQL)
  • 3389 (RDP)

이러한 포트는 전달 된 소프트웨어를 추가하거나 덮어 쓰기 파일 공유 및 원격 단말 관리 등 다양한 이유로 일반적으로 오픈으로 설정되어 있습니다.

악성 코드가 노리는 포트에서 악성 코드, MySQL 및 Microsoft SQL Server 데이터베이스 등 Windows PC에서 사용되는 소프트웨어의 식별 역할도 생각할 수 있습니다. 이 중 하나라고 식별되면 악성 코드는 관리자 권한을 가진 새 사용자를 만듭니다. 구체적으로는, 예를 들어 감염 장비가 Microsoft SQL Server를 사용하면 sysadmin 권한을 가진 데이터베이스 사용자로 "Mssqla"을 만듭니다. 악의적 인 사용자가 관리자 수준의 액세스 권한을 얻음으로써 전체 서버 환경 설정 옵션 변경, 서버 종료, 로그인 정보 및 속성 변경 실행중인 프로세스 종료 BULK INSERT 명령문의 실행 데이터베이스의 작성 · 변경 · 삭제 · 복원 할 수 있습니다.

이 Windows 용 악성 코드는 Mirai의 확산 전용으로 설계되어 있지만, 기능이 확대 될 가능성도 있습니다. 이 악성 코드는 쉽게 다른 악성 코드를 유포하도록 수정하는 것이 가능합니다. 게다가 Windows PC를 노리는 수법은 Mirai 활동 확대에 도움이된다고 말할 수 있습니다.

이 악성 코드는 감염된 기기가 연결된 네트워크의 IoT 기기에 침입에도 이용 될 수 있습니다. 홈 네트워크의 IP 주소는 대개 예측이 가능합니다. 대부분의 가정용 라우터는 192.168.xx IP 주소 공간을 사용하고 있습니다. Windows 용 악성 코드는 악성 코드 C & C 서버에서 IP 주소를 지시하고 C & C 서버는 악성 코드를 보냈다 기기에 로컬 IP 주소 공간을 스캔하도록 명령 할 수 있습니다. 이렇게 네트워크의 기본 암호를 사용하는 모든 IoT 기기가 감염 될 수 있습니다.

저작자 표시 비영리 변경 금지
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story

2016 년 7 월만으로도 독일에서 뮌헨 총격 사건 및 동국 남부 안스 바흐 자살 폭탄 테러 사건이 발생했습니다. 이러한 이유로 사람들은이 국내 보안에 불안을 안게되어 있습니다. 그리고이 사건의 용의자들은 어떻게 무기를 손에 넣은 것일까하는 의문이 떠 오릅니다.

7 월 22 일에 발생한 뮌헨 총격 사건 관련 용의자는 사건에 이용한 자동 권총 글록 17를 언더 그라운드 시장에서 사용하고있었습니다. 트렌드 마이크로는 언더 그라운드 시장, 독일 일간 경제 신문 'Handelblatt' 과의 인터뷰를 받았습니다.

용의자가 인터넷에서 무기를 구입할 수있는 것은 놀라운 일이 아닙니다. "Deep Web (Deep Web)"에있는 시장의 Web 사이트를 찾아 접근하는 것은 잘 알고있는 사람에게 그다지 어렵지 않습니다. 물론 딥 Web에서 광고는 과대 광고이거나 사기이거나하는 경우도 있지만, 범죄자 테러리스트도 신중하게 선택하는 것으로 목적의 불법 제품을 얻을 수 있습니다.

그런 Web 사이트 모니터링 및 조사의 중요성은 명백하지만, 그럼 왜 경찰이 감시 및 조사하지 않는 것일까라는 질문이 나올 것입니다. 여기서 이해해야은 법 집행 노력하지 않은 것은 아니고 현실적으로 경찰 등 법 집행 기관에 충분한 예산이없는 것이 이유의 하나입니다. 경찰은 범죄자를 잡기위한 예산을 무한히 가지고 있다고 생각할지도 모릅니다. 그 추측이 틀렸다는 것은 아니지만, 사이버 범죄에 대해서는 적용되지 않습니다.

법 집행 기관의 대부분은 단속해야 딥 Web을 감시 및 수사하기위한 전문 지식도 예산도 인원도 가지고 있지 않습니다. 불법 온라인 활동이 커지면서 범죄를 해결하기 위해서는 이러한 노력이 더 중요 해지고 있음에도 불구하고하지 못하는 것이 현실입니다. 법 집행 기관은 딥 Web을 단속 싶어 있어도 세계의 법 집행 기관의 사이버 범죄 부서에서 필요로하는 자금과 인력이 부족합니다.

딥 Web 자체를 금지하거나 또는 엄격한 감시하에 두어야 생각 정치인도 있습니다. 하지만 그런 의견은 단기적이고 단락이고 현실적이지 않습니다. 딥 Web은 본래 해로운 것은 아닙니다. 익명 성은 인터넷에서 필요한 요소입니다. 예를 들면 딥 Web은 독재적인 정치 체제 하에서 생활을하고있는 반정부 활동가에게는 매우 유용합니다. 딥 Web에 대한 본질적인 좋고 나쁨은 없으며, 그것은 인터넷에 존재하는 하나의 도구 나 플랫폼에 지나지 않습니다.

법 집행 기관은 사이버 범죄의 깊은 Web의 중요성에 대해 인식하고 깊은 Web을 모니터링 및 조사하기 위해 부족한 지식과 기술을 메우려 노력하고 있습니다. 하지만 현재는 민간 기업이 그 방면에서 앞서 있습니다. 법 집행 기관과 연구자가이 분야에서 제휴하는 것은 쌍방의 이익이됩니다.

당사는 세계 각지의 법 집행 기관이 깊은 Web을 모니터링 할 수 있도록 지원하고 있습니다. 당사가 협동 해 법 집행 기관은 연방 형사 국과 주 형사 국을 포함, 그 중 일부는 최근의 사건의 수사가 진행되고 있습니다. 법 집행 기관의 온라인 활동의 수사가 오프라인에서 이루어지는 범죄 수사만큼 효율적으로 할 수있는 능력 육성을 위해 당사는 어떠한 법 집행 기관과도 협력 해 나갈 것을 결의하고 있습니다.

당사는 딥 web과 각국의 언더 그라운드 시장에 대한 연구 논문을 공개하고 있습니다. 자세한 내용은 여기 를 참조하십시오.

참고 기사 :

저작자 표시 비영리 변경 금지
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story

얼마 전 한 기사 에 이어 국내 인터넷 뱅킹을 노리는 'URSNIF (아스니후 별명 : GOZI) "가 다시 이메일을 통해 확산되고있는 것이 확인되었습니다. 공격의 내용 자체에 큰 변화는없고, 다양한 주제와 내용의 일본어 악성 스팸이 들어오는 수신자가 첨부 파일을 열어 버리면 인터넷 불법 사이트에서 다운로드하여 최종적으로 「URSNIF "이 침입합니다. 지난 5 월 말에서 6 월 7 일까지 약 10 일 동안 3 만 건 이상의 악성 스팸이 관측 된 이후에도 소규모 계속하고있었습니다. 그리고 이번에는 6 월 27 일부터 이틀 만에 4 만 건을 관측 및 이전 확산을 웃도는 규모로되어 있습니다. 온라인 은행 사기 도구의 본체 인 'TSPY_URSNIF "감지 대수 추이를 보더라도 6 월 27 일 이후 급증 5 월 이후 최대의 발견 대수가 있기 때문에 공격자가 더 큰 규모의 공격을 시도하고 있다는 점은 의심의 여지가 없습니다.

그림 1 : 일본 국내에서 "TSPY_URSNIF"감지 대수 추이
그림 1 : 일본 국내에서 "TSPY_URSNIF"감지 대수 추이

■ 다양한 악성 스팸주의

지난해 말부터 세계적으로 볼 수있는 널리 인터넷 이용자 노리는 악성 스팸에서 송장이나 주문 확인, 짐과 상품의 배송 확인, Fax 나 복합기에서 메시지 등의 명목 메일을 중심으로 확인되어 왔습니다. 그러나이 "URSNIF '의 확산을 노린 악성 스팸은 더 다양한 내용의 메일이 확인되고 있습니다. 전회도 "연차 휴가 신청 ','도급 계약 ','연간 운용 보고서」, 「산정 신고서」, 「상황 일람표"인터넷 쇼핑몰에서 '지불 확인 "등 다양한 명목의 내용을 나타내는 제목이나 본문이있었습니다 만, 이번도 "안전 점검", "택배 배송 안내 ','상품 신고 안내 ','작업 일보」, 「회계 처리에 대해" "확인" 하면 바로 공격자가 손을 바꿔 제품을 바꿔 악성 스팸을 전송하고있는 모습을 간파 할 수 있습니다. 또한 이전부터 이번까지 제목을보고 있다고 "연차 휴가 신청 ','도급 계약 ','작업 일보」, 「회계 처리에 대해"등 법인 이용자를위한 것으로 보인다 제목이 많아지고있는 점도 주목됩니다.

내용 적으로도 합법적 인 업체가 실제로 보내고있다 통지의 내용을 복사하여 사용하는 실제 업체의 이메일 주소와 국내 유명 업체의 이메일 주소를 보낸 사람으로 위장하는 등 눈에 의심 고 간파 할 수없는 수법이 사용되고 있습니다.

제목원본 주소 (헤더 프롬)첨부 파일 이름
안전 점검국내 대형 업체의 
이메일 주소
CERT_ {11 자리 숫자} XLS.zip 
예) CERT_02267042375 XLS.zip
택배 배송 안내정규 업체의 
이메일 주소
{6 자리 대문자 알파벳} 공백 {7 자리 대문자 알파벳} 
예) GO4D7O 01NAA8Q.zip
상품 신고 안내정규 업체의 
이메일 주소
{6 자리 대문자 알파벳} 공백 {7 자리 대문자 알파벳} 
예) GO4D7O 01NAA8Q.zip
작업 일보국내 대형 업체의 
이메일 주소
DSC {18 자리 숫자} .JPG.zip 또는 
DSC {18 자리 숫자} .JPG
회계 처리에 대해국내 대형 업체의 
이메일 주소
1-15_J_2016_001_002_003.zip
확인국내 대형 업체의 
이메일 주소
S {11 자리 숫자} {3 자리 숫자} {4 자리 숫자} .2016.06.28.zip 
예) S00652790047.001.0061.2016.06.28.zip
【연락 요망] 수선 의뢰국내 대형 업체의 
이메일 주소
img-doc {20 자리 숫자} .zip 
예) img-doc02335662950372549096.zip 
doc {3 자리 숫자} _AT {5 자리 숫자} _xls.zip 
예) doc.029_AT90381_xls.zip
(은행) 불입 접수 안내국내 대형 업체의 
이메일 주소
2016 {MMDD} - {3 자리 숫자} - {1 자리 숫자} .zip 
예) 20160628-009-7.zip


표 : 이번에 확인 된 악성 스팸 변형

 

그림 2 : 제목 "택배 배송 안내"악성 스팸 이미지보기
그림 2 : 제목 "택배 배송 안내"악성 스팸 이미지보기

그림 3 : 제목 "작업 일보"악성 스팸 이미지보기
그림 3 : 제목 "작업 일보"악성 스팸 이미지보기

그림 4 : 제목 "확인"악성 스팸 이미지보기
그림 4 : 제목 "확인"악성 스팸 이미지보기

그림 5 : 제목 "(은행) 불입 접수 안내"악성 스팸 이미지보기
그림 5 : 제목 "(은행) 불입 접수 안내"악성 스팸 이미지보기

따라서 공격자는 자신의 공격을 성공시키기 위해 항상 공격 수법을 변화시켜갑니다. 이번 전한 공격의 내용은 다음에서 완전히 다른 것이되어 있을지도 모릅니다. 최신 위협 동향을 알고 새로운 수법에 속지 않도록주의를 기울여야합니다. 또한 원래 의심스러운 이메일을 가능한 필터링하고 일반 이용자의 수중에 닿지 않도록하는 대책도 중요합니다.

■ 피해를 당하지 않기 위해서는

온라인 은행 사기 도구 등의 악성 프로그램은 일반적으로 이메일을 통해 또는 Web 통해 PC에 침입합니다. 원래의 침입을 막기 위해이 두 경로에서 침입을 탐지하는 바이러스 제품의 도입도 중요합니다.

전자 메일을 통해 확산 관해서는 첨부 파일을 안전한 것이다 것처럼 수신자에게 착각하게 클릭하는 수법이 상투 화하고 있습니다. 이 같은 수법을 인식하여 아이콘이나 파일 이름 등의 조건에서 의심스러운 첨부 파일을 인식하고 나아가 악성 프로그램 감염을 방지 할 수 있습니다.

그러나받는 사람을 속일 메일 수법은 항상 변화 해 나가는 때문에 제목이나 본문에만 주목 한 메일 필터링에서의 대책은 효과가별로 기대할 수 없습니다. 그보다 첨부 파일에 착안하여 실행 파일 또는 스크립트 파일 등 공격에 이용되기 쉬운 파일 형식의 조건으로 필터링하는 공격자가 자주 사용하는 이중 확장자 등의 수법이 사용 된 경우 필터링하는 등의 대책 방법이 유효합니다.

저작자 표시 비영리 변경 금지
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story

부즈앨런 해밀턴의 최근 보고서에 따르면, 일반적으로 회사가 사이버보안 위기에 처했을 때 IT관리자들이 점수를 딸 것으로 예상하지만, 현업 지향적인 리더일수록 더 효과적일 수 있는 것으로 나타났다

이는 일반적으로 기업 전체에 영향을 끼치는 모든 큰 결정을 내리는 사람이 바로 현업 임원들이기 때문이라고 부즈앨런 해밀턴의 부사장 빌 스튜어트는 전했다.

"위기 상황 시 큰 의사결정은 그런 식으로 이뤄지지 않는다. 역할이 바뀐다"고 스튜어트는 말했다.

기술관리자들은 망가진 시스템을 고치고 시스템 외부의 적을 찾는 등 기술에 대해서만 생각할 것이다.

하지만 위기 관리는 법적 문제, 위기 커뮤니케이션, 다른 전략 결정을 수반하며 IT관리자는 이에 대해 준비돼 있지 않거나 처리할 시간이 없을 지도 모른다.

또 기술 솔루션들이 종종 회사 전체를 위한 최선책과 충돌하는 경우가 있다.

"그들은 시스템을 종료하고 무언가를 재구성하며 비즈니스에 영향을 미치는 다른 것을 해야 한다"라고 스튜어트는 말했다. "그리고 그들은 비즈니스 목표를 폭넓게 이해하는 상황에 있지 않을 수 있다. 비즈니스를 폭넓게 이해하는 사람이 있으면 더 나은 의사결정을 내릴 수 있다"라고 그는 덧붙였다.

사고가 발생하면 언제라도 바로 행동에 들어갈 수 있도록 회사에 위기관리 전문가로 구성된 전담 부서를 둔다는 것은 비용 면에서 볼 때 부담이 될 수 있다.

"위기의 유형과 당신이 다루는 시나리오에 따라 당신에게 필요할 수도 있는 솔루션 전체 스위트가 나뉜다”라고 그는 말했다.

이 업무의 대부분을 아웃소싱하는 게 맞지만 기업들이 계획을 수립하며 적절한 협력사를 찾아야 한다고 스튜어트는 조언했다.

"위기가 발생할 때까지 기다리면 너무 늦다. 그 전에 많이 조사해야 하고 거기에 많은 시간을 할애해야 한다. 그 다음 사람을 뽑을 때 적임자들을 확보해야 하며 이들은 회사에 대해 배워야 하고 그것은 많은 시간을 절감해 준다"라고 그는 덧붙였다.

떠오르는 사물인터넷
부즈앨런이 보고서에서 주목한 또다른 큰 변화는 사물인터넷의 부상이다.

IP 주소가 늘어나고 기술 가격이 하락하는 가운데 네트워크 기기가 언제 어디서나 즉시 연결될 것이다. 그에 비해 현재 발생하는 사이버 보안 침해 사고 건수는 적다고 볼 수 있다.

"사물인터넷은 사물의 규모를 크게 변경하려고 하고 있다. 정보 유출은 훨씬 더 클 것이다"라고 스튜어트는 말했다.

문제는 이를 대하는 일반적인 방안이 보안을 마지막에 고려하는 것이라고 그는 밝혔다.

"IT인프라 개발의 추세는 가능한 저렴하고 효율적으로 보안을 구축하는 것"이라고 그는 말했다. 이어서 그는 "그 결과 IT인프라 개발에 보안이 포함되지 않는 경우가 대부분이며 보안에는 운영 비용이 할당될 뿐이다"라고 덧붙였다.

그러나 보안 사고와 그에 따른 비용이 늘어나면서 기업 보안의 중요성이 높아졌으며 기업들이 처음부터 보안을 함께 구축해야 하는 가치를 인식하기 시작했다고 그는 언급했다.

"만약 IT인프라에 보안 기능을 처음부터 집어 넣으면 마지막 단계에 추가하는 것보다 훨씬 더 저렴하고 안전하게 개발할 수 있다"라고 그는 강조했다

출처 : http://www.csoonline.com/article/2912434/data-breach/report-it-managers-not-best-leaders-in-breach-crisis.html

저작자 표시 비영리 변경 금지
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story

무료 와이파이 서비스 지역이 까페에서부터 레스토랑 체인에 이르기까지 나날이 확대되고 있다. 하지만 무료 와이파이의 편리함 이면에는 바이러스나 신원 도난 같은 위협이 따른다.

와이파이의 핵심 요소는 유선 네트워크와 와이파이 네트워크를 연결하는 AP다. 이 AP는 일반적으로 내장한 네트워크 라우터를 통해 인터넷에 연결된다.



공격자들로부터 데이터 탈취를 방어하기 위해 와이파이 기술에는 사용자 기기 인증 및 데이터 암호화 프로토콜 세트가 포함되어 있다.

AP와 연결 기기 모두에 들어있는 이런 프로토콜은, 사전 정의된 암호나 다른 형태의 독특한 신원 인증을 활용하거나 데이터를 암호화해서 정해진 기기에서만 접속할 수 있게 한다.

현재 보안 표준으로 널리 활용되는 WPA2는 PSK(pre-shared key)를 사용자 인증과 데이터 암호화를 위해 텍스트 문자 시리즈의 형태로 사용한다. 참고로 디지털 기기와 AP가 WPA2 프로토콜을 활용해 커뮤니케이션 하는 방식은 4단계(포웨이 핸드셰이크) 과정으로 이뤄진다.

퍼블릭 와이파이의 위험
“핫스팟”이라 불리는 공공 AP는 특정 장소 내의 많은 사람들이 인터넷에 접속할수 있게 해준다. 다시 말해 스타벅스 매장 내의 모든 사람들이 “스타벅스 와이파이” 채널을 통해 인터넷에 접속할 수 있다는 이야기다.

안타깝게도 공공 핫스팟은 그 구역 내의 누구라도 공중에 떠다니는 데이터를 읽어낼 가능성을 남긴다. 아래는 공공 와이파이를 사용할 때 프라이버시가 침해될 수 있는 몇 가지 흔한 방식들이다.

네트워크 스니핑 : 공격자는 채널상의 모든 눈에 보이는 트래픽을 수집하고 가로채는 “스니핑(sniffing)” 애플리케이션만 있으면 개인 정보를 훔칠 수 있다.

WPA2가 와이파이 네트워크와 사용자의 클라이언트 사이 각각의 연결을 암호화하지만, 이는 PSK를 모르는 사람들만 네트워크에서 막기 위해 만들어진 것이다.

만약 공격자가 포웨이 핸드셰이크(fourway handshake)를 탐지해 PSK를 잡아내면 PSK가 변경될 때까지 기기로 들어오는 모든 트래픽의 암호를 해제해버릴 수 있다.

심지어 공격자에게 PSK가 없다 하더라도 무차별대입공격을 시도할 수도 있다. 이 때에는 무선 네트워크 관리자가 선택한 PSK의 품질(길이, 대소문자 조합, 심볼이나 알려진 단어 사용 등)이 키 탈취의 난이도에 결정적 영향을 미친다. 커피숍 등에서 관리자가 어려운 PSK 암호를 설정해야 하는 이유다. 

써드파티 데이터 수집 : 해커가 없다고 할지라도 공공 핫스팟에 접속할 때 프라이버시가 완전히 안전하지 않다. 특히 무료 와이파이를 사용할 때 그렇다.

가끔 AP 근방에 소재한 고객을 식별하기 위해 와이파이가 쓰이는 경우가 있는데, 이게 사용자가 방문하는 웹사이트를 추적하는데 사용되기도 한다. 비록 치명적으로 악성적인 건 아니지만, 이런 써드파티 데이터 수집 역시 프라이버시 침해다.

다음은 핫스팟 제공자들이 와이파이 사용자들의 정보를 취득하기 위해 사용하는 흔한 기법들이다.

악성 AP : 종종 선택 가능한 네트워크가 여러 개가 있어서 특정 시설에 소속된 핫스팟이 무엇인지 불확실할 때가 있다.

사용자에 따라서는 암호 설정이 되어있지 않다는 이유만으로 전혀 알지 못하는 네트워크에 덜컥 접속하기도 한다. 그러나 만약 공격자가 미리 조작해둔 AP라면 그로 인해 심각한 위험에 빠질 수 있다.

가장 큰 위협 중 하나로 “페이지 스푸핑(page spoofing)”을 들 수 있다. 이는 악성 AP가 도메인명을 숫자 IP 주소로 변환하는 DNS(domain name resolution)를 제어하는 방식으로 이뤄지는 공격이다.

정상정인 DNS 과정


일반적인 DNS 프로세스에서는 클라이언트 기기가 인터넷 접속을 위해 서버와 통신한다. 그러나 스푸핑 공격에서는 해커가 가짜 웹사이트를 만들어 연결시킴으로써 신원 정보를 훔칠 수 있다.

예를 들어 페이스북상 무언가에 “좋아요”를 누르도록 요청 받고 실제와 똑같아 보이는 가짜 페이스북 로그인 페이지에 로그인 하도록 유도하는 식이다.

여기서 로그인하면 이 가짜 페이지는 그 로그인 정보를 기록하고 로그인 에러를 표시한다. 글 후 다시 진짜 페이스북 페이지 로그인으로 유도해 “두 번째 로그인 시도”를 하도록 만든다. 무슨 일이 일어났는지도 모르는 새에 소셜 신원 정보가 탈취되는 것이다.

DNS 스푸핑 공격

또 “악성 쌍둥이 공격(Evil Twin Attack)” 방식도 있다. 이는 가짜 AP를 활용해 사용자의 데이터를 해킹하는 것이다. 이 방식은 공공 장소에서 종종 시도된다. 무선 카드를 장착한 노트북을 활용해 해커는 정상적인 AP에 접속해 비슷한 이름을 가진 “가짜 쌍둥이”를 생성해낸다.

공원에 놀러갔는데, 자신의 태블릿이 “공원1”이라는 이름의 무료 와이파이 핫스팟을 잡아낸다고 상상해보라. 많은 사람들은 그 이름만 보고 의심 없이 그 네트워크에 접속하게 될 것이다. 이를 통해 해커들이 더욱 넓은 영역에서 개인 정보를 탈취할 수 있게 된다. 

악성 쌍둥이 공격


공공 와이파이를 안전하게 사용하는 전략
애석하게도 공공 핫스팟을 완벽하게 안전하게 만드는 것은 불가능하다. 몇몇 공공장소는 영수증상에 PSK를 인쇄해서 시설 사용자들만 그들의 와이파이를 사용할 수 있게 하기도 한다.

그러나 여전히 키는 사실상 공개되는 것과 마찬가지다.. 그래서 데이터는 라디오 주파수를 통해 수동적으로 수집되고 차후에 암호 해제가 가능할 수 있다.

안전한 커뮤니케이션을 사용하려면 최종사용자가 AP 접속 이전에 독특한 PSK를 취득해야 하는데, 이는 대부분의 공공 장소에서 이뤄지긴 어려운 일이다.

몇몇 통신사들은 안전 셀룰러 네트워크를 통해 접속 정보를 취득함으로써 접속 핫스팟에 더 안전하게 접속할 수 있게 하지만, 이런 접근방식은 셀룰러 네트워크 제공자들에게만 제한된 방식이다. 또 이마저도 나름의 보안 취약점이 있다.

이렇듯 비록 공공 와이파이 핫스팟에 접속할 때 어느 정도의 위험은 피할 수 없는 일이지만, 스스로를 보호하는 어느 정도의 조치는 가능하다. 가장 흔하게 실행할 수 있는 조치들은 다음과 같다:

1. 와이파이 네트워크에 접속하기에 앞서 적법성을 확인한다. 이름만 확인하는 것이 아니어야 한다. 특히 동일한 이름의 AP가 있다면 관계자에게 물어 확인한다. 장소에 따라 서비스 이용 계약 조항을 꼼꼼하게 확인할 필요도 있다.

2. 공공 와이파이에 연결했을 때에는 민감한 작업을 하지 않는다. 꼭 로그인 해야 한다면 HTTPS로 시작하는 사이트에만 방문한다. 이 때 HTTPS를 이용하는 웹사이트라고 할지라도 해당 웹사이트의 이미지는 HTTP를 통해 배포될 수 있다는 점에 유의해야 한다. 이와 관련해 오늘날의 브라우저 대다수는 연결된 콘텐츠가 안전하지 않을 경우 경고를 발하는 기능을 내장하고 있다.

3. 공공 와이파이를 이용할 때는 결코 소프트웨어를 설치하지 않는다. 흔히 쓰이는 공격 방식이 있다. 브라우저가 구식 플래시를 사용하고 있다며 가짜 어도비 웹사이트로 연결시켜 바이러스가 주입된 소프트웨어를 설치하도록 하는 것이다.

4. 좋은 방법 중 하나는 VPN을 이용하는 것이다. VPN은 사용자 기기와 써드파티 서버 사이에 터널을 만드는 것과 유사하다. 이 터널을 지나는 모든 데이터가 암호화되기에 스니핑으로부터 보호받을 수 있다. 오픈SSL이나 IPSec를 이용하는 ‘프라이빗 와이파이’ 등의 검증된 써드파티 VPN을 이용하는 것도 좋다.

무료 와이파이 접속을 당연하게 생각하기 쉽다. 안타깝게도 공공 핫스팟이 점점 흔해지면서 해커들 역시 늘어날 것이다. 데이터 탈취에 대한 최선의 방어는 와이파이 작동 방식과 그 취약점에 대한 확실한 이해하고 상식적인 주의 조치를 취하는 것이다.

저작자 표시 비영리 변경 금지
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story

티스토리 툴바