러시아 해커들이 가정용 라우터 DNS 설정을 탈취하고 있다

러시아 군 해커들, 가정 및 사무실 라우터를 표적으로 삼다

사이버 보안 연구원들의 새로운 보고에 따르면, 러시아 군과 연계된 정교한 DNS 하이재킹 캠페인이 5,000개 이상의 소비자 기기와 200개 이상의 조직을 침해한 것으로 나타났다. 이번 공격의 배후인 위협 행위자는 포레스트 블리자드(Forest Blizzard, APT28 또는 스트론튬(Strontium)으로도 추적됨)로 알려져 있으며, 러시아 군사 정보기관과 연계되어 있고 수년간 고위급 침해 사건에 관여해 왔다.

공격 방식은 단순하지만 매우 효과적이다. 개별 컴퓨터나 휴대폰을 직접 표적으로 삼는 대신, 이 그룹은 가정용 및 소규모 사무실 라우터의 DNS 설정을 변조한다. 라우터가 침해되면, 여기에 연결된 모든 기기, 즉 노트북, 휴대폰, 스마트 TV, 업무용 컴퓨터가 잠재적인 표적이 된다.

DNS 하이재킹의 실제 작동 원리

DNS, 즉 도메인 네임 시스템은 때때로 인터넷의 전화번호부에 비유된다. 브라우저에 웹사이트 주소를 입력하면, 기기는 DNS 서버에 접속에 필요한 숫자 형태의 IP 주소를 조회한다. 정상적인 상황에서 이 조회는 신뢰할 수 있는 DNS 서버, 주로 인터넷 서비스 제공업체가 제공하는 서버로 전송된다.

공격자가 라우터의 DNS 설정을 변조하면, 해당 조회는 그들이 통제하는 서버로 리다이렉트된다. 이를 통해 공격자는 사용자가 방문하려는 사이트를 정확히 파악할 수 있으며, 경우에 따라 실제 트래픽을 가로챌 수도 있다. 연구원들은 이 방법을 통해 포레스트 블리자드가 침해된 라우터에 연결된 기기에서 이메일과 로그인 자격 증명을 포함한 평문 데이터를 탈취할 수 있었음을 밝혀냈다.

이는 특히 우려스러운 사안인데, 많은 사용자들이 HTTPS 웹사이트나 암호화된 이메일 서비스를 사용하기만 하면 자신의 통신이 보호된다고 가정하기 때문이다. 그러나 라우터 수준에서 DNS가 하이재킹되면, 공격자는 트래픽 흐름을 들여다볼 수 있게 되며, 특정 조건 하에서는 그 보호 기능마저 무력화할 수 있다.

포레스트 블리자드는 누구인가?

포레스트 블리자드는 APT28 및 스트론튬이라는 별칭으로도 알려져 있으며, 러시아의 GRU 군사 정보기관에 소속된 것으로 널리 알려져 있다. 이 그룹은 유럽과 북미 전역의 정부 기관, 방위 계약업체, 정치 단체, 그리고 핵심 인프라에 대한 공격에 연루되어 있다.

이번 캠페인은 소비자 등급의 인프라를 향한 전술적 전환을 보여준다. 가정용 및 소규모 사무실 라우터는 보안 측면에서 자주 간과된다. 펌웨어 업데이트가 드물고, 기본 자격 증명으로 운영되는 경우가 많으며, IT 보안팀의 모니터링 대상도 아닌 경우가 일반적이다. 이러한 특성 때문에 대규모로 통신을 가로채려는 그룹에게 매력적인 진입 지점이 된다.

라우터를 침해하면 공격자는 지속적인 접근 권한을 유지할 수 있다. 개별 기기에서 악성코드가 제거되더라도, 침해된 라우터는 라우터 자체가 초기화 및 재설정되기 전까지 트래픽을 계속 리다이렉트한다.

이것이 당신에게 의미하는 것

일반 가정용 또는 소규모 사무실 라우터를 사용하고 있다면, 정부 직원이 아니거나 스파이 활동의 표적이 될 가능성이 낮더라도 이번 캠페인은 직접적으로 관련이 있다. 5,000개 이상의 소비자 기기라는 공격 규모는 표적 선정이 정밀하기보다는 광범위하게 이루어졌음을 시사한다.

이번 소식에 대응하여 취할 만한 몇 가지 실질적인 조치들이 있다.

라우터의 DNS 설정을 확인하라. 라우터 관리자 패널(일반적으로 192.168.1.1 또는 192.168.0.1)에 로그인하여 목록에 있는 DNS 서버가 본인이 알고 신뢰하는 것인지 확인하라. 직접 설정하지 않은 낯선 IP 주소가 보인다면 위험 신호다.

라우터 펌웨어를 업데이트하라. 라우터 제조업체는 보안 취약점을 패치하는 펌웨어 업데이트를 주기적으로 배포한다. 많은 라우터는 관리자 패널에서 직접 업데이트를 확인하는 기능을 제공한다. 라우터가 수년이 지났고 제조업체가 더 이상 지원하지 않는다면, 교체를 고려하라.

라우터의 기본 관리자 비밀번호를 변경하라. 기본 자격 증명은 널리 공개되어 있으며 공격자가 가장 먼저 시도하는 것 중 하나다. 라우터 관리자 인터페이스에 강력하고 고유한 비밀번호를 설정하면 진입 장벽이 크게 높아진다.

DNS 누출 방지 기능이 있는 VPN을 사용하라. VPN은 DNS 쿼리를 포함한 트래픽을 로컬 네트워크 외부의 서버로 향하는 암호화된 터널을 통해 라우팅한다. 라우터의 DNS가 변조되었더라도, 적절한 DNS 누출 방지 기능을 갖춘 VPN은 쿼리가 공격자의 서버가 아닌 VPN 제공업체의 서버를 통해 처리되도록 보장한다. 이것이 침해된 라우터를 안전하게 만들지는 않지만, 공격자가 관찰하거나 가로챌 수 있는 정보를 크게 제한한다.

독립적으로 암호화된 DNS 사용을 고려하라. DNS over HTTPS(DoH) 또는 DNS over TLS(DoT)를 지원하는 서비스는 VPN 없이도 DNS 쿼리를 암호화하여 가로채거나 리다이렉트하기 어렵게 만든다.

포레스트 블리자드 캠페인은 네트워크 보안이 라우터에서 시작된다는 사실을 상기시켜 준다. 가정이나 사무실을 인터넷에 연결하는 기기는 책상 위의 컴퓨터나 휴대폰과 동일한 수준의 관심을 받아야 한다. 라우터를 최신 상태로 유지하고, 올바르게 설정하며, 모니터링하는 것은 선택 사항이 아니라 모든 것이 기반을 두는 토대다. 최근 라우터 설정을 점검하지 않았다면, 지금이 시작하기에 좋은 시점이다.