실시간
뉴스

침해사고/위협동향

호스트 파일 변조 탐지를 우회하는 파밍 수법 등장

사진제공 : 잉카인터넷
사진제공 : 잉카인터넷
[디지털데일리 이민형기자] 최근 백신의 호스트 파일(hosts. hosts.ics) 변조 탐지를 우회하기 위해 아이피(IP) 대신 10진수, 16진수 숫자를 기재하는 수법이 등장해 주의가 필요하다.

호스트 파일은 웹브라우저가 도메인네트워크서버(DNS)에 접속하기 전 참조하는 시스템 파일이다. 이 파일이 변조될 경우 ‘www.naver.com(네이버)’ 등에 접속해도 정상 웹사이트가 아닌 파밍 웹사이트에 접속될 수 있다. 파밍 웹사이트는 정상 웹사이트와 동일한 것처럼 보이지만, 개인정보를 탈취하는 기능이 탑재돼 있다.

사진제공 : 잉카인터넷
사진제공 : 잉카인터넷
일반적으로 변조된 호스트 파일에는 ‘1.1.1.1 www.xxxx.com’의 형태의 문구가 삽입돼 있으나, 대부분의 백신들을 이를 탐지해내고 원상태로 복구한다.

공격자들은 백신을 우회하기 위해 아이피 대신 10진수를 입력하는 수법을 사용하고 있다. 호스트 파일에 입력된 10진수는 16진수로 변경되고, 변경된 16진수는 최종적으로 10진수의 아이피로 변경된다. 웹브라우저는 이러한 주소 입력 방식으로도 웹사이트에 접근할 수 있다.

예를 들어 ‘4294967295 www.xxxx.com’이란 문구가 호스트 파일에 삽입돼 있다고 가정하자. 사용자가 www.xxxx.com에 접속을 요청할 경우, 웹브라우저는 10진수 ‘4294967295’를 16진수 ‘FFFFFFFF’로 변경하고, 최종적으로 ‘255.255.255.255’ 주소로 인식해 접속을 시도한다. 이를 통해 사용자는 정상적인 웹사이트가 아닌 파밍용 웹사이트로 접속하게 된다.

문종현 잉카인터넷 부장은 “공격자들은 백신과 보안 인증 수단을 회피하기 위해 다양한 수법을 사용하고 있다”며 “이번에 발견된 파밍사이트는 PC에 저장된 개인정보 뿐만 아니라 큐싱(QR코드+피싱) 등을 통해 모바일 개인정보도 탈취하고 있다. 안전지대가 점점 더 사라지고 있다”고 설명했다.

이 같은 피해를 예방하기 위해서는 운영체제와 백신 업데이트를 필히 실시하고, 개인정보(보안카드 등)의 입력을 요구할 경우에도 무시해야 한다. 상기 사진과 같은 팝업창이 지속적으로 뜰 경우 한국인터넷진흥원(☎︎118)을 통해 도움을 받을 수 있다.

<이민형 기자>kiku@ddaily.co.kr

디지털데일리 네이버 메인추가
x