공유기 멀웨어: 라우터 감염 여부 탐지 방법

공유기 바이러스란 공유기에 기생하면서, 스스로 복제가 가능한 악성 코드를 말합니다. 공유기의 작동을 조종하며, 공유기를 통해 여러 디바이스로 퍼져서 시스템을 파괴합니다. 이 바이러스로 인해 시스템 오작동, 개인정보 탈취, 재산상의 손해 등이 일어날 수 있습니다.

사람들은 컴퓨터나 스마트폰과 달리 공유기가 보안에 취약하다고 생각하지 않습니다. 그렇기에 공유기를 구입할 때부터 보안에 취약한 저렴한 공유기를 선호하는 경우가 많습니다. 또 불편하고 귀찮다는 이유로 패스워드 조차 설정하지 않거나 펌웨어 업그레이드를 하지 않습니다. 이렇게 보안을 안일하게 관리한 결과 해커의 표적이 됩니다. DNS 변조, 피싱, 데이터 감청, DDos 공격 등 갖가지 공격을 당하고 나중에 후회하게 됩니다.

Wi-Fi 공유기가 바이러스에 걸릴 수 있나요?

Wi-Fi 공유기는 당연히 바이러스에 걸릴 수 있습니다. 먼저 공유기가 감염되고 연결된 디바이스로 전파되기도 하고, 반대로 디바이스에서 공유기로 전파될 수도 있습니다. 한번에 많은 디바이스를 감염시킬 수 있기 때문에 해커들에게는 아주 좋은 표적이 됩니다. 악의적인 사이버 공격을 막기 위해서 바이러스 및 위협 방지 기능을 사용하세요.

모뎀이 바이러스에 걸릴 수 있나요?

흔하지는 않지만 모뎀도 인터넷에 연결이 되기 때문에 바이러스에 감염이 될 수 있습니다. 또한 모뎀 안에 라우터가 내장되어 있는 경우가 있는데, 그럴 경우에는 더 악용될 가능성이 많습니다.

공유기에도 안티 바이러스가 필요할까요? 네, 필요합니다. 이 시간에도 수 많은 공유기가 공격당하기 때문입니다. 안티 바이러스는 네트워크를 스캔하고, 바이러스 및 멀웨어를 찾아낼 수 있어야 합니다. 목적에 따라서 기본적인 점검만 수행할 수도 있고, 고급 스캔을 할 수도 있습니다.

공유기 보안에 대한 경각심을 일깨워 줄 수 있는 유명한 멀웨어 공격 사례들이 여기 있습니다. 대부분 보안에 취약한 SOHO(Small Office, Home Office)용 공유기, 즉 소규모 사업체나 가정용 공유기를 공격합니다.

• VPN Filter: 공유기 멀웨어 중 가장 유명한 사례입니다. 주 목표물은 SOHO용 공유기이며, 최소 54개국에서 50만대 이상의 공유기를 감염시켰습니다. 공유기 이외에도 NAS등 기타 네트워크 장비도 공격했습니다. FBI 조사 결과 러시아 해커 집단이 만든 것으로 추정되며, DDos공격, 정보 탈취, 크립토 재킹 등이 가능합니다.
• Switcher Trojan: 안드로이드 OS 기반의 독특한 트로이 목마 멀웨어입니다. 안드로이드 기기를 통해서 공유기를 감염시키는 방식으로 동작합니다. 중국의 1,000대 이상의 네트워크를 감염시켰습니다. DNS를 조작하여 중국의 검색 엔진인 바이두(Baidu)나 와이파이 네트워크 공유 앱으로 위장합니다. 그래서 악성 앱을 유포하고, 해커의 C&C 서버로 사용자 정보를 빼돌립니다.
• ZuoRAT: 비교적 최근인 2020년에 나온 멀웨어입니다. 북미와 유럽의 SOHO 공유기를 공격 대상으로 삼았습니다. 예전에 있었던 Mirai 멀웨어의 발전된 버전으로 파악되며, 출처는 중국 해커 집단으로 추정됩니다. LAN의 내부 호스트에 대한 정보를 악용하여 DNS 하이재킹, HTTP 하이재킹을 시도합니다.

한국은 공유기 바이러스 청정 지역일까요? 절대로 아닙니다. 대표적인 한국 사례로 공유기로 무선 인터넷을 사용하다가 악성 코드를 다운받게 되는 ‘크롬 업데이트 바이러스’가 있습니다. 보안에 취약한 공유기에 바이러스가 감염이 되어 DNS 변조 피해를 입습니다. 그리고 사용자가 원래 접속 하려 했던 사이트가 아닌 피싱 사이트로 리다이렉션을 시켜서, 거짓 크롬 업데이트 알림을 띄웁니다. 주로 ‘최신 크롬 브라우저가 나왔으니 업데이트를 하라’ 라고 알림이 뜹니다. 그 알림에 속아서 업데이트 버튼을 눌렀다가는 악성 프로그램을 다운받게 됩니다. 특히 스마트폰에 불법 apk 파일을 다운로드 시키는 경우가 많습니다. 이를 통해 온갖 개인 정보가 악성 프로그램을 통해서 해커에게 전송되고, 해커는 그것으로 이득을 취합니다.

비슷한 수법으로 네이버나 금융감독원 팝업으로 사용자를 속이기도 합니다. 예전부터 꾸준히 있던 사례이지만 아직도 사라지지 않고 있으니 주의하시기 바랍니다. 특히 공용 Wi-Fi를 사용할 때는 디바이스에 VPN을 설정하여 보안을 강화하는 것이 좋습니다. 신뢰할 수 있는 한국 VPN 서비스를 이용해 보세요.

어떻게 공유기에 멀웨어가 있는지 점검할 수 있을까요? 일단 공유기 설정을 확인해 보시기 바랍니다. 만약 DNS 서버 설정이 나도 모르는 사이에 변경되었을 경우, 감염을 의심해 볼 수 있습니다. 그 외에 공유기 해킹 증상으로 속도가 현저히 느려졌다던지, 알 수 없는 소프트웨어가 설치 될 수도 있습니다. 안티 바이러스 제품을 통해 바이러스 스캔을 해 본다면 좀 더 확실하게 진단이 가능합니다.

감염된 공유기는 다음과 같은 현상을 보입니다:

• 

  가짜 알림, 팝업창이 뜨며 피싱 사이트로 유도함
• 

  브라우저 이용 시 원하는 사이트가 아닌 다른 사이트로 리다이렉션
• 

  컴퓨터, 모바일, IoT 기기 등의 속도가 느려짐
• 

  설치한 적 없는 프로그램이 설치되어 있음
• 

  공유기의 DNS 설정이 조작되어 있음
• 

  분명 맞는 패스워드인데 작동이 되지 않음

이런 증상은 모두 해커가 공유기와 디바이스를 이미 장악해서, 또 다른 해킹을 하기 위한 자원으로 사용하고 있기 때문에 나타납니다. 더불어 브라우저를 통해 전송되는 패킷도 감시할 것입니다. 피해자는 자신도 모르는 사이에 개인 정보, 사생활, 이메일 등을 탈취 당하고 추후에 도용이나 피싱 피해를 입게 됩니다. 크롬 브라우저를 사용하고 계시다면 크롬 VPN 확장 프로그램을 통해 소중한 트래픽을 보호해 주세요.

이미 공유기 바이러스에 감염이 되었다고 너무 슬퍼하지는 않아도 됩니다. 대부분의 경우에는 감염된 공유기를 새 제품으로 교체할 필요도 없습니다. 다음의 순서를 따라서 바이러스를 제거해 보세요.

1. 공유기를 초기화 하십시오. 공유기 뒤에 있는 RESET 이라는 버튼을 누르면 설정이 초기화 됩니다.
2. 공유기의 네트워크 이름(SSID)와 비밀번호를 새롭게 변경합니다. 이 때, 귀찮다고 다른 웹사이트와 같은 비밀번호를 사용하면 곤란합니다. 해커가 알아내기 어려운 길고 복잡한 패스워드를 사용해 주세요. 여러 사이트의 비밀번호를 관리하기 어렵다면 비밀번호 관리자 소프트웨어가 도움이 될 수 있을 것입니다.
3. 공유기의 펌웨어 버전을 확인하시고 만약 최신 버전이 있다면 업그레이드를 진행합니다.
4. 감염 확률이 있는 모든 디바이스를 백신 프로그램으로 검사하고 악성 프로그램이 있다면 바로 삭제해 주세요. 그러고도 마음이 놓이지 않는다면 포맷을 추천합니다.
5. 가능하다면 재발 방지를 위해 공유기 VPN을 설정합니다. 먼저 지금 사용하고 있는 공유기가 VPN 설정이 가능한지 확인하세요. 가능한 모델이라면 공유기 관리자 페이지에서 고급 설정을 통해 설정할 수 있습니다. 이렇게 공유기의 트래픽을 암호화 하고, 연결된 모든 기기를 보호할 수 있습니다.