DNS 변조, 보안 시스템에서 감지가 어려워…피해 우려

2015년 1월 확인된 파밍용 팝업창/ 연합뉴스=공감신문

[공감신문] 악성코드에 감염된 PC를 조작해 가짜 사이트로 유도하는 파밍(Pharming·전자금융사기) 수법이 날로 교묘해지고 있다. 사칭하는 금융 기관 증가와 함께 가짜 사이트는 더욱 정교해지고 있다.

22일 한국인터넷진흥원(KISA)의 '악성코드 은닉사이트 탐지 동향 보고서'에 따르면 지난해 하반기 인터넷 웹사이트에서 발견된 악성코드 중 파밍을 포함 금융정보를 노린 악성코드는 75%에 달했다.

이어 광고성 정보를 이용한 애드웨어가 7%, 중요 파일을 암호화하는 랜섬웨어가 5%, 원격제어가 3%다.

파밍 사이트는 운영체제가 제공하는 호스트 파일(컴퓨터와 IP주소를 연결해주는 텍스트 파일) 연결 기능을 악용해 이용자를 가짜 사이트로 연결시켜 공인인증서 등 금융정보를 빼돌린다.

인터넷 화면의 즐겨찾기나 포털 사이트의 검색 결과를 조작해 가짜 사이트로 연결하기도 한다.

뿐만 아니라 이용자의 화면에 안내 팝업창을 띄우는 경우도 다반사다.

이러한 안내창은 금융 및 보안 관련 기관을 사칭해 가짜 사이트로 유도한 뒤 개인정보를 입력하도록 유도하는 경우가 대부분이다.

안내창이 사칭한 금융권 사이트는 2015년 1월 9개에서 지난해 10월 18개로 늘어났다. 웬만한 은행은 다 포함된 셈이다.

사칭하는 기관도 초반에는 금융감독원이 많았지만, 지난해에는 한국인터넷진흥원과 미래창조과학부 등 보안 관련 기관들까지 확대됐다.

지난해 6월 발견된 안내창은 금융감독원을 내세웠다가 불과 4개월 뒤에는 한국인터넷진흥원으로 이름만 바꿔 재등장했다.

이용자가 많은 오픈마켓 역시 안전치 못하다. 이러한 안내창은 오픈마켓에서 정보 유출 사고가 발생했으니 보안 인증 절차를 진행해야 한다는 방식으로 개인정보 입력을 유도한다.

최근에는 도메인 네임 서버(DNS)를 변조한 파밍 악성코드까지 등장했다.

DNS는 문자로 구성된 웹 주소를 숫자로 된 IP로 연결해주는 기능으로, DNS가 변조되면 사용자가 정상적인 도메인 주소를 입력해도 파밍 사이트로 연결되거나 가짜 안내창이 화면에 뜨게 된다.

국내 한 보안업체에 따르면 최근 발견된 파밍용 악성코드는 DNS를 변조해 '금융감독원에서 발표한 금융사기 척결 특별대책'이라는 제목의 안내창을 띄운다. 안내창은 '피싱 사기 피해를 막는 금융 시스템이 나왔는데 이를 이용하려면 개인정보가 필요하다'며 이용자를 현혹한다.

이 업체 관계자는 "기존 호스트 변조 방식은 대부분의 백신이 차단하고 있어 공격자들이 DNS를 바꾸는 방식을 택한 것으로 보인다"며 "DNS 변조는 보안 시스템에서 감지가 어려워 이용자의 피해가 우려된다"고 말했다.

한편, 보안 전문가들은 파밍 피해를 예방하려면 보안카드와 공인인증서 정보 전체를 요구하는 웹사이트는 접속하지 말고, 컴퓨터의 운영체제와 백신을 최신 버전으로 업데이트해야 한다고 조언하고 있다. 

저작권자 © 공감신문 무단전재 및 재배포 금지