피싱, 파밍, 스미싱의 습격 “고객님, 당황~하셨어요?"

피싱, 파밍, 스미싱의 습격 “고객님, 당황~하셨어요?”
AhnLab | 2013-07-25
최근 사회적으로 문제가 되고 있는 피싱을 소재로 한 TV 프로그램의 코너인 ‘황해’가 큰 인기를 끌고 있다.   “고객님, 당황하셨어요?”라는 말까지 유행시키면서 웃음코드를 이용해 보이스 피싱의 경각심을 일깨우고 있다. 이런 인기 때문인지 우리를 당황시키는 파밍 악성코드가 지속적으로 발견되고 있어 특별히 주의를 기울여야 할 것으로 보인다.   과거에는 보이스 피싱으로 대표되는 '피싱' 사기가 주를 이루었다.   하지만 최근에는 가짜 은행 사이트에 접속하도록 해 금융 정보를 빼내는 '파밍', URL이 포함된 문자 메시지로 악성코드를 유포하는 형태의 '스미싱'까지 그 수법이 날로 고도화하고 있다. 이들의 구체적인 의미를 정리하면 아래와 같다.   ▶ 피싱(Phising) : 금융기관 등으로 위장해 개인의 인증번호나 신용카드번호, 계좌정보 등을 빼내 이를 불법적으로 이용하는 사기 수법이다. ▶ 파밍(Pharming) : 합법적인 사용자의 도메인을 탈취하거나 도메인 네임 시스템(DNS) 또는 프록시 서버의 주소를 변조함으로써 사용자들로 하여금 진짜 사이트로 오인해 접속하도록 유도한 뒤 개인정보를 탈취하는 공격 기법이다. ▶ 스미싱 (Smishing) : 스마트폰 사용자를 타깃으로 무료 쿠폰, 스마트 명세서 등의 낚시성 광고 문자를 보내 악성코드를 유포하고 소액 결제 방식으로 돈을 빼가는 해킹 수법이다.     최근에도 파밍의 구체적인 사례가 발견된 바 있다.   해당 사례는 국내 유명 은행을 사칭하면서, 설명 부분에는 전국적으로 인기를 끌고 있는 피싱 소재의 TV 프로그램을 써놓았다.   위의 파밍 악성코드가 감염되는 과정을 구체적으로 살펴보면 [그림 1]과 같다.       [그림 1] 파밍 악성코드 감염 과정       1. 악성코드 제작자는 악성코드 파일과 이를 유포시킬 서버를 구축한다.   2. 그런 다음 보안이 취약한 웹서버에 악성코드 유포 사이트 접속 코드를 강제로 삽입해 둔다.   3. 사용자가 보안이 취약한 웹서버에 접속한다.   4. 악성코드 유포 사이트로 리다이렉트된다.   5. 사용자의 컴퓨터가 악성코드에 감염된다.   6. 악성코드 제작자는 악성코드에 감염된 사용자의 컴퓨터에 호스트 파일 변조나 DNS 서버 변조 등을 가한다.   7. 이 때문에 사용자가 정상 사이트에 접속해도   8. 가짜 은행 사이트에 접속돼 사용자의 금융정보를 탈취한다.   9. 악성코드 제작자는 이렇게 수집한 금융정보로 사용자의 계좌에서 현금을 인출한다.     해당 악성코드에 감염되면 ‘svchsot.exe’ 등의 파일을 생성해 [시작 프로그램]에 등록되어 부팅 시 마다 실행된다.   또한 C:\Windows\Tasks 폴터에 [예약된 작업] 항목을 등록하고, 지정된 시간(1시간 이후부터 24시간 이후까지)마다 실행되도록 한다.   또한 [그림 2]와 같이 hosts.ics 파일을 변경하여 정상 은행 웹사이트의 접속을 막는다.   [그림 2] 생성된 hosts.ics 파일   윈도우 운영체제는 입력한 URL이 hosts 파일에 존재할 경우, DNS 서버에 요청하지 않고 지정된 IP로 연결을 시도한다.   악성코드는 은행 도메인이 악성코드 유포 IP에 연결되도록 hosts 파일을 수정하며, 사용자가 가짜 은행 홈페이지에 접속하도록 유도하는 것이다.   [그림 3] URL 입력 시 홈페이지 연결 과정       이러한 악성코드에 감염되는 것을 예방하기 위해서는 지속적인 보안 업데이트 설치, 자바(Java) 및 플래시 플레이어(Flash Player) 등의 프로그램의 최신 버전 유지, V3 등 백신 프로그램의 최신 엔진 유지 및 실시간 감시 기능 사용 등을 지켜야 한다.@
| ASEC 대응팀