통합 보안 기업 이스트시큐리티는 21일 사용자 PC의 DNS(도메인네임시스템)를 직접 변조해 위조된 포털 사이트로 접속하게 하는 진화된 형태의 파밍 공격이 발견됐다며 인터넷 뱅킹 사용자의 각별한 주의를 당부했다.
새로 발견된 파밍 공격은 호스트 파일을 변조하던 기존 방식과 달리 사용자 PC의 네트워크 환경 설정에서 DNS를 직접 변조했다. DNS란 사용자가 편리한 인터넷 사용을 위해 http://naver.com, http://zum.com과 같이 문자로 구성된 도메인을 입력하면 http://125.209.222.142, http://121.189.40.10 등 숫자로 된 실제 사이트 주소로 연결해주는 일종의 ‘주소 교환원’의 역할을 하는 네트워크 서비스다.
파밍 공격에 사용된 악성파일에 감염되면 금융감독원에서 발표한 정책을 사칭한 ‘금융사기 척결 특별대책’에 대한 안내창을 띄우고 마치 개선된 금융 보안 시스템을 이용할 수 있는 것처럼 설명하면서 사용자가 의심 없이 정보를 입력하도록 유도한다.
기존 호스트 불법 변조 방식의 경우 대부분의 백신과 금융 사이트에서 감지해 차단하고 있기 때문에 이를 우회하기 위해 DNS를 직접 수정하는 고도화된 파밍 공격 방식이 나타났다는 분석이다.
금융사이트 정상 거래 과정에 비밀번호, 보안카드 번호 등을 탈취하는 '메모리 해킹' 공격 조직이 관여한 정황도 포착됐다. 메모리 해킹에 사용된 악성파일과 명령제어 서버 등이 파밍 공격에도 사용된 것으로 나타났다.
메모리 해킹은 블로그, 카페 등에 등록된 각종 프로그램 파일을 설치할 때 포함된 광고프로그램(애드웨어)로 악성파일을 유포하는 방식을 사용한다. 이번 파밍 역시 동일한 방식으로 DNS 변조 악성파일을 전파했다.
김준섭 이스트시큐리티 부사장은 “개인 인터넷 사용자는 DNS 주소를 자동으로 받도록 설정돼 있는 경우가 많다”며 “인터넷 사용 중 포털 사이트에서 금융정보를 입력하도록 유도하는 안내창이 나타난다면 파밍 공격을 의심하고 PC 네트워크 환경설정에서 DNS 주소를 자동 설정으로 변경해 볼 필요가 있다"고 말했다.
[저작권자 @머니투데이, 무단전재 및 재배포 금지]