전 세계 공유기 60%가 타겟? TP-Link 해킹 사태로 본 DNS 보안의 민낯

최근 IT 보안 업계가 시끌벅적하다. 러시아 군 정보부대(GRU)가 전 세계에 퍼져 있는 TP-Link 공유기들을 상대로 대규모 해킹을 감행했다는 소식이 전해졌기 때문이다. 미 정보기관과 FBI의 공식 발표에 따르면, 이들은 공유기의 취약점을 이용해 거대한 봇넷을 구축하고 첩보 활동에 활용했다.

사실 TP-Link는 전 세계 공유기 시장의 60% 이상을 점유하고 있는 공룡 기업이다. 그러다 보니 예전부터 "중국 자본이 들어간 기업이라 백도어가 심겨 있다", "마음만 먹으면 전 세계를 감시할 수 있다" 같은 음모론이 꼬리표처럼 따라다녔다.

물론 나는 이런 영화 같은 음모론을 다 믿지는 않는다. 굳이 음모론이 아니더라도 이유는 명확하다. 해커들이 굳이 점유율 낮은 리눅스 배포판용 바이러스를 만드느라 힘 빼지 않고 윈도우를 노리는 것처럼, 공유기 해커들 입장에서도 가장 많이 팔린 TP-Link의 취약점 하나만 파는 것이 가성비 면에서 압도적이기 때문이다. 한마디로, 그냥 타겟이 되기 딱 좋은 '덩치'일 뿐이라는 거다.

라우터 보안 점검 포스터

이번 공격의 핵심: DNS 하이재킹(Hijacking)

이번 사태에서 해커들이 사용한 수법은 아주 고전적이면서도 치명적인 'DNS 하이재킹' 이었다. TP-Link의 취약점을 통해 수천, 수만 명의 라우터 관리자 권한을 따낸 뒤, 설정된 DNS 주소를 해커가 미리 준비한 가짜 DNS 서버로 바꿔버린 것이다.

사용자는 평소처럼 구글이나 유튜브에 접속하지만, 실제로는 해커의 서버를 거쳐 가게 된다. 이 과정에서 사용자가 입력하는 아이디, 패스워드, 그리고 세션 토큰까지 고스란히 탈취당한다. 내 집 대문 열쇠가 해커 손에 들어간 셈이다.

💡 DNS(Domain Name System)란 무엇인가?
쉽게 말해 인터넷의 '전화번호부'다. 우리가 웹 브라우저에 google.com 같은 문자를 입력하면, 컴퓨터는 이를 이해하지 못한다. 그래서 DNS 서버에 "구글 주소가 뭐야?"라고 물어보고 142.250.xxx.xxx 같은 숫자 IP 주소를 받아오는 과정을 거친다.

그런데 이 전화번호부를 해커가 조작했다면? 당신이 '우리집'을 찾아달라고 했을 때 해커가 '도둑놈의 집' 주소를 알려줘도 당신은 의심 없이 그곳으로 들어가게 된다.

FBI의 대응: 해킹에는 해킹으로?

재미있는 건 미국 FBI의 조치다. 이들은 법원의 허가를 받아 소위 '최첨단 기술''특별한 명령어' 를 동원해 피해자들의 공유기 설정을 원복시켰다고 발표했다.

말은 번지르르하게 '복원'이라고 하지만, 냉정하게 말하면 FBI도 TP-Link의 취약점을 이용해 사용자들의 공유기에 무단 침입(해킹)하여 설정을 바꿨다는 뜻이다. 국가 기관이라는 이름 하에 합법적인 '역해킹'을 수행한 셈인데, 참으로 묘한 광경이 아닐 수 없다.

당신의 공유기는 안전한가?

문제는 한국이나 일본 같은 국가들이다. 개인정보와 권한 문제에 민감한 이 나라 정부 기관들이 FBI처럼 '친절하게(?)' 내 공유기에 들어와 설정을 고쳐줄 리 만무하다. 애당초 그럴 능력이나 시스템이 갖춰져 있는지도 의문이다.

결국 믿어야 할 것은 자기 자신뿐이다. 미국에 살고 있지 않은 이상, 이 글을 읽는 당신이 직접 라우터 관리자 화면에 접속해서 상태를 확인해야 한다. TP-Link가 아니더라도 상관없다. 지금 당장 확인해보자.

지금 바로 해야 할 3가지 조치

  1. DNS 서버 설정 확인: 라우터 관리자 페이지에서 DNS 주소를 확인하자. 만약 본인이 설정하지 않은 생소한 IP가 적혀 있다면 즉시 수정해야 한다. 잘 모르겠다면 그냥 아래의 공용 DNS를 넣도록 하자. 그게 제일 속 편하다.

    • Cloudflare: 1.1.1.1
    • Google: 8.8.8.8

  2. 펌웨어 업데이트 (필수): 이왕 관리자 모드에 들어온 김에 펌웨어 업데이트 버튼을 누르자. 제조사가 배포하는 최신 패치는 당신의 공유기에 뚫린 구멍을 막는 유일한 방법이다. 평소에 관심도 없었을 텐데 이번 기회에 많은 사람들이 공유기 펌웨어 업데이트를 하면 좋을 것 같다.

  3. 비밀번호 변경 (기본 중의 기본): 내가 장담하건데 아직도 관리자 비밀번호가 admin이거나 아예 설정조치 안 되어 있는 상태인 사람도 있을 것이다. 그건 대문을 열어놓고 도둑이 안 오길 비는 것과 다를 바 없다. 제발 비밀번호부터 설정하도록 하자.

마치며

해킹은 영화 속 이야기가 아니다. 인터넷에 연결된 기기를 가지고 있는 순간, 우리는 24시간 타겟이 되어 있다. 특히 공유기는 우리 집 모든 트래픽이 지나가는 '관문'이다.

기본적인 보안 수칙조차 지키지 않고 개인정보가 털린 뒤에 기업 탓, 국가 탓을 하는 것만큼 어리석은 일도 없다. 최소한 내 대문 열쇠만큼은 내가 챙겨야 한다고 생각한다. 많은 사람들이 해킹과 보안에 관심을 가졌으면 좋겠다. 그러면 자연히 돈을 벌기위한 기업들도 소비자가 무서워서라도 보안에 비용을 쓰게 되고 결국 안전한 우리 모두가 안전한 서비스를 받게 되는 것 아니겠는가?