스마트폰으로 공유기 해킹하는 신종 '트로이목마' 악성코드 등장

안드로이드폰 이용해 공유기 장악… 해커 운영 웹사이트 강제 연결
무작위로 다양한 기기 감염 가능해 위험↑
DNS 설정 점검 및 공유기 관리 페이지 ID·비밀번호 변경 필요



[아시아경제 이민우 기자] 안드로이드 스마트폰을 통해 공유기까지 해킹하는 '트로이목마' 악성코드가 등장해 주의가 요구된다.

카스퍼스키랩 연구진은 이 같은 '스위처(Switcher) 트로이목마' 악성코드를 발견했다고 5일 밝혔다.

이 악성코드는 안드로이드 기기 사용자를 매개체로 인터넷 공유기(Wi-Fi 라우터)를 감염시킨다. 그 뒤 공유기의 DNS 설정을 변경시켜 해당 공유기와 연결된 기기를 해커가 제어하는 웹사이트로 접속하도록 유도한다. DNS(Domain Name System)는 'XXX.COM'과 같이 문자로 구성된 웹 주소를 숫자로 이뤄진 IP 주소로 변환하는 서비스다.

스위처 트로이목마 악성코드 작동 원리(제공=카스퍼스키랩)

스위처 트로이목마는 해커가 운영하는 웹사이트에서 악성코드를 내려 받는 식으로 감염된다. 이 악성코드는 중국 최대 검색엔진 '바이두'의 안드로이드용 프로그램이나 중국 내 와이파이(Wi-Fi) 네트워크 정보를 공유하는 유명 애플리케이션 '와이파이만능월시(WiFi万能?匙)'로 위장하며 유포되고 있다.

현재까지 스위처 트로이목마에 감염된 무선 네트워크는 중국을 중심으로 1,280개에 달하는 것으로 알려졌다.

감염을 방지하기 위해선 모든 사용자가 공유기의 DNS 설정을 점검하고 다음과 같은 악성 DNS 서버가 있는지 확인해야 한다.

▲ 101.200.147.153
▲ 112.33.13.11
▲ 120.76.249.59

DNS 설정에서 이들 서버 중 하나라도 발견되면 이용 중인 인터넷 서비스 공급업체에 지원을 요청하거나 공유기 소유자에게 알려야 한다. 공유기 관리자 페이지의 아이디 및 암호 역시 변경해둘 필요가 있다.

이창훈 카스퍼스키랩코리아 지사장은 "스위처 트로이목마는 라우터를 공격해 연결된 기기를 공격하는 새로운 공격 수법"이라며 "네트워크 전체를 표적으로 삼고 개인이든 기업이든 가릴 것 없이 네트워크에 연결된 모든 사용자를 피싱에서부터 2차 감염까지 크고 작은 위협에 노출시킨다"고 경고했다.

이어 "일단 공격이 성공적으로 이뤄지면 탐지하기 쉽지 않으며, 제거하기는 더욱 어렵다"며 "변조된 DNS설정은 라우터를 재시작해도 원래대로 돌아가지 않는 데다, 설령 악성 DNS가 비활성화될지라도 보조 DNS 서버가 작동하기 때문"이라고 덧붙였다.

이민우 기자 letzwin@asiae.co.kr