지난 2월부터 국내에서 활동을 시작한 금융 관련 파밍으로 인해 연일 피해가 속출하고 있다. 더욱이 스미싱이라는 모바일 파밍까지 기승을 부리고 있다.
 
이러한 파밍의 주요한 핵심 원리는 바로 이름 풀이(Name Resolution)에 있으며, 최근에 공격자가 사용하는 기법을 분석하고 현재까지 국내에서 사용할 수 있는 파밍 차단 솔루션인 파밍캅의 성능 검증, 마지막으로 보완해야 할 부분은 무엇인지 제시하고자 한다.
 
먼저 이름풀이(Name Resolution)이라는 용어에 대해서 알아야 한다. 일반적으로 DNS(Domain Name System)라고도 하며, 주로 사용하는 친숙한 도메인 이름(ex. www.naver.com)을 실제 웹서버가 운영되는 IP주소(ex. 111.222.111.222)로 이름을 해석해주는 것을 말하며, ‘풀이’, ‘변환’, ‘해석’ 등 다양한 용어가 사용되지만 이 글에서는 ‘이름풀이’라고 부르기로 한다.
 
파밍에는 보통 다음과 같이 두 가지 방법이 사용되고 있으며, 보다 자세한 사항은 3월 4주차에 보내 드린 금융 관련 전문 분석 보고서를 참고하기 바란다.
-hosts 파일을 변조하는 방법

 
-IE의 BHO(Browser Helper Object)를 이용하여 변조하는 방법

 
그리고, 경남지방경찰청에서는 파밍으로 인한 피해를 줄이기 위해 ‘파밍캅’이라는 소프트웨어를 개발하여 제공하고 있으며 최근 2.0 버전까지 갱신되었다.
(관련 링크: www.gnpolice.go.kr/gn_pr/sub02.asp?idx=4187)

 
파밍캅은 hosts 파일에 입력되는 주소들 가운데 국내 은행 IP를 모두 확인해 변조된 경우 이를 알려주고 복구하는 요긴한 기능을 제공한다. 하지만 BHO를 이용해 변조하는 파밍은 예방할 수 없는 한계를 가지고 있으며, 해당 홈페이지에서도 이러한 부분을 안내하고 있다.
 
지난 4월초에 hosts.ics 파일을 변조하는 새로운 형태의 파밍 기술이 발견되었다. hosts.ics 파일은 일반적으로 사용하지 않는 파일로 인터넷 연결 공유(ICS, Internet Connection Sharing)시에 특정한 클라이언트의 IP를 강제로 지정하는 기능을 한다.
(관련 정보: support.microsoft.com/kb/309642/ko)
 
더욱 재미있는 점은 이름풀이 과정에서 hosts.ics 파일의 우선순위가 있다는 것으로 이는 공격자가 보안이나 네트워크에 대한 수준높은 기술을 보유하고 있다고 추정할 수 있다. 참고로, hosts.ics는 hosts 파일 다음의 우선순위를 가지며 DNS보다 높다.
 
①Local DNS Cache: ipconfig /displaydns로 확인 가능
②hosts 파일
③hosts.ics 파일
④DNS
⑤WINS
(관련 정보: www.dslreports.com/forum/remark,15902538)
 
아래 화면은 지난 주에 국내에서 유포된 파밍 악성파일 중에 hosts.ics 파일을 활용하여 감염된 경우 파밍이 이뤄지는 상태를 보여주고 있다.

 
hosts.ics 파일을 사용하고, hosts. 파일에는 백신의 기능을 우회하도록 IP를 변조하는 행위로 미루어볼 때 공격자는 국내의 금융 환경, 보안 환경 나아가 파밍팝과 같은 파밍을 대응하기 위한 솔루션까지도 면밀히 검토하여 공격하는 것으로 보인다.
 
앞에서도 언급했지만, 파밍캅의 경우 다음의 2가지 한계를 가지고 있는 것으로 예상된다.
①hosts 파일 내에 은행 관련 IP 주소만 저장하고 있으며, 백신사의 접근 및 업데이트를 방해하는 IP 주소 입력시 진단하지 못하는 한계를 가진다. 따라서, 최신 공격 기술을 분석하여 기능을 추가할 필요가 있다. 하지만, 이 또한 추가할 데이터의 범위를 정하는 것 자체가 사후적 특성을 가지기 때문에 최신 공격에는 효과가 떨어질 수 밖에 없다.

 
②hosts.ics 파일에서 발생하는 변조 기법을 인식하지 못한다. 이 또한, 프로그램 상에서 변조여부를 확인할 수 있도록 업데이트할 필요가 있다.
 
파밍을 해결하기 위해서는 앞에서 언급한 ‘이름풀이’ 단계에서 막는 것은 사실상 불가능하다. 따라서 이러한 악성코드를 유포하는 통로, 즉, 악성코드를 뿌리는 웹사이트를 최대한 빨리 찾아 차단해야 하며 악성코드 또한 백신업체에 신속하게 전달되어 최대한 빨리 PC 보안을 갖출 수 있도록 유기적인 협조 체계 구축이 필요하다.
 
최종적으로는 악성코드를 유포하기 위해서는 웹서버의 취약점을 활용하므로, 웹서버의 취약점을 꾸준히 해결해야 나가야만 근원적인 문제를 해결할 수 있게 된다는 점을 충분히 공감할 수 있을때에서야 비로소 문제가 해결될 수 있을 것이다.
 
[글. 빛스캔 문일준 대표]