4일 한국인터넷진흥원(KISA)의 ‘공인인증서 유출 유형의 악성코드 분석’을 보면 최근 파밍 공격은 과거 호스트 파일을 직접 변경하는 방법을 쓰던 방식에서 IP 변환작업(Resolving) 체계에서 변형을 시도는 방식으로 진화했다.
파밍 공격은 이용자가 정상 사이트 주소를 입력해도 가짜 사이트로 연결해 개인정보와 예금을 탈취하는 해킹기법이다.
이용자가 인터넷에 방문하려는 사이트 주소를 입력하면 인터넷 주소나 호스트( PC의 핵심 정보처리 장치) 이름을 숫자형식의 IP주소로 바꿔주는 변환작업 과정에 악성코드가 생성된다.
IP 변환작업 과정은 컴퓨터에 전문적이지 않은 이용자가 확인하기 어렵고, 보는 방법을 안 다 해도 평소 잘 확인하지 않는 부분이라 이 과정에서 발생하는 공격행위를 감지하기 쉽지 않다. 다시 말해 금융정보 탈취용으로 만들어진 가짜 사이트에 접속해도 이를 알아차리기가 더 어려워졌다.
최근에는 이런 파밍 공격이 공인인증서 유출 시도와 동시에 이뤄지는 게 특징이다.
공인인증서 정보 유출 공격은 공인인증서 폴더를 감염시킨 해커가 인증서 폴더 전체를 압축한다는 게 특징이다. 압축된 파일은 해커가 이미 장악해둔 국내 특정업체의 비공개 FTP 서버에 올려두고 원격지와 주기적으로 접속을 시도한다.
이는 추가 명령을 받아 공인인증서 유출 외의 다른 악성행위를 하기 위한 것으로 풀이된다.
해커는 공격 대상 컴퓨터에서 공인인증서 폴더를 검색할 때 운영체제의 환경 설정을 검색해 나중에 인증서 폴더가 이동할 경우까지 대비하는 것으로 분석됐다.
인터넷 진흥원에 따르면 악성코드 감염을 확인할 수 있는 가장 좋은 방법은 컴퓨터 드라이브에 악성파일(hosts.ics)이 생성됐는지 여부를 확인하는 것이다. 이 파일이 발견됐다면 즉시 삭제한 후 최신판의 안티 바이러스 프로그램을 실행해 다른 악성코드가 있는지 검사해 보는게 좋다.
컴퓨터를 껐다가 다시 켠 후에도 악성파일이 발견되면 인터넷진흥원의 인터넷침해대응센터(전화 국번없이 ‘118’)에 원격지원을 요청하면 된다.
인터넷진흥원 관계자는 “이런 공격이 성공하려면 주민등록번호, 전화번호, 보안카드 번호 같은 정보가 필요하기 때문에 해커가 이미 관련 정보를 빼 갔거나 추가적인 정보 탈취시도를 할 것”이라며 “악성코드 감염을 예방하려면 평소 정품 소프트웨어를 사용하고 악성코드 유포지로 악용될 위험이 있는 사이트, 웹 하드 이용을 삼가야 한다”고 조언했다.
/디지털미디어부