[8/16] IoT 기기를 이용한 DNS 하이재킹 공격 발생

브라질을 대표하는 은행 Banco de Brasil 과 Itau Unibanco에서 업무를 보던 고객의 IoT 기기를 악용한 DNS 하이재킹* 공격 시도가 발견 됨

  • 이번 공격은 처음으로 모뎀 및 라우터를 원격으로 조정하여 DNS 하이재킹 공격을 시도한 것으로 보임
  • 이와 같은 공격 시도는 사용자의 핸드폰이나 집에서 사용하는 인터넷 기기들 까지도 DNS 하이재킹을 통해 잘못된 웹사이트로 접속하게 할 수도 있다는 결과를 보여줌
  • 공격자는 조작된 라우터와 악의적인 DNS 서버를 통해 유도한 피싱 사이트를 이용하여 주로 은행이나 금융거래를 하기위해 사용자가 피싱 사이트에 접속하는 순간 정보를 탈취함
  • 연구원들은 글로벌 허니팟*을 만들어 불법 URL을 사용하여 브라질 안에 취약한 IoT 장치를 노리는 악성 서버를 발견하고 라우터의 DNS 서버설정을 올바르게 변경한 후 집안에서도 피해를 입은 기기들을 파악함
  • 이 악성 DNS 서버는 브라질의 가장 큰 금융기관 2곳을 제외하고는 모든 DNS질의에 대하여 일반 ISP* DNS처럼 응답하도록 치밀하게 설정되어 있었음
  • 또한 대부분의 IoT 봇넷은 DDoS 공격, 암호해독 등 기밀정보를 수집하는데 사용되지만 이번 공격은 IoT 기기 소유자를 대상으로 하기 때문에 특별함
  • Radware* 연구원들은 악의적인 시도가 있었다는 점을 은행에게 알렸으며 ISP업체와 협력하여 악성 DNS 서버를 제거함
  • 위와 같은 피해를 예방하기 위해서는 은행 사이트에 인증서가 해당 은행의 호스트 이름과 일치하는지 파악해야하며 사용자의 IoT 기기를 항상 최신 업데이트 상태로 유지해야함*DNS 하이재킹 : DNS 서버에서 발생하는 행위를 조작하거나 가로채는 행위
    *허니팟 : 공격자를 유인하는 함정을 만들어놓고 마치 공격을 당하는 것처럼 하여 공격방법 등 공격자의 정보를 파악하기 위한 탐지기법
    *ISP : 개인이나 기업에 인터넷 서비스를 제공하는 업체
    *Radware : 해외에 여러 지사를 두고있는 사이버 보안 서비스 제공 업체

[출처] SC