전문가 칼럼

보안 전문가들이 얘기하는 보안의 모든 것! 전문가 칼럼에서 깊이 있는 보안 정보를 만나실 수 있습니다.

웃기거나 치명적이거나, 스파이웨어 조커와 DNS Changer

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • 안철수연구소
  • 2008-11-19
앞서 스파이웨어의 여러 종류에 대해 2부에 걸쳐 알아보았다. 이번 회에 알아볼 내용은 또 다른 스파이웨어의 종류로 우스꽝스럽게 사용자로 하여금 크고 작은 피해를 주는 조커와 개인정보 유출에 악용되는 DNS Changer에 대해서 알아본다. 조커(Joker) 컴퓨터에 자체에 크게 나쁜 영향을 주지는 않지만 사용자를 놀라게 하는 악성 프로그램들을 말한다. 예전 지인으로부터 메신저로 컵받침 선물이라며 프로그램을 전송 받은 적이 있다. 받은 프로그램을 실행했더니 CD-ROM 드라이브가 열려 잠시 웃은 기억이 있다. 이런 것들이 바로 조커로 분류된다. 이런 프로그램은 때론 잔잔한 재미를 주지만 프로그램의 특성상 사용자를 놀라게 하여 이에 당황해 크고 작은 피해가 발생할 수 있다. 그 대표적 유형은 다음과 같다. 갑자기 귀신 그림을 모니터 가득 보여준다. 아무런 준비 없이 이런 장면을 보게 되면 심약한 사람의 경우 큰 충격을 받을 수 있다. 또한 귀신 사진만 보일 뿐 다른 작업을 할 수 없어 컴퓨터를 사용하지 못하게 한다.
그림 1 컴퓨터 화면 가득 출력된 귀신 사진
디스크를 포맷 중이라는 허위 메시지를 보여준다. 이제껏 작업했던 문서들, 여행가서 찍은 사진 등이 지워질지도 모른다는 생각에 잠시 패닉에 빠지는 사람도 있다. 또는 삭제되는 것을 막기 위해 컴퓨터 전원 코드를 뽑아 컴퓨터에 물리적 손상을 가져오는 경우도 종종 있다.
그림 2 허위로 포맷 중이라는 메세지를 출력함
그 이외 마우스 커서를 특정 위치에 고정시켜 컴퓨터 작업을 방해하는 경우, 마우스 오른쪽 왼쪽 버튼을 변경해 컴퓨터 작업에 방해를 주는 경우 등등 다양한 종류가 있다. 더욱 심각한 것은 이런 조커를 자동으로 제작해 주는 프로그램이다. 이는 기본적으로 컴퓨터 보안 제품을 정상 동작하지 못하게 하는 기능이 설정되어 있으며, 윈도우의 중요 보안 설정을 임의로 변경하는 기능 또한 포함되어 있다. 이 경우 사용자 컴퓨터의 보안 제품이 무력화 되어 더 큰 피해를 낳을 수 있다.
그림 3 국산 조커 제작기
이런 제작기로 조커 프로그램을 제작해 배포할 경우 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 48조 중 “누구든지 정당한 사유 없이 정보통신시스템, 데이터 또는 프로그램 등을 훼손, 멸실, 변경, 위조하거나 그 운용을 방해할 수 있는 프로그램(이하 “악성프로그램”이라 한다)을 전달 또는 유포하여서는 아니 된다.”를 위반하게 되어 법적 제재를 받을 수 있으므로 호기심에서라도 이런 프로그램을 사용하지 말아야 한다. 만약 이런 프로그램에 피해를 받았다면 윈도우를 다시 설치 하는 등의 극단적인 방법 대신 신뢰할 수 있는 컴퓨터 보안 업체에 연락해 도움을 받는 것이 현명하다. 디엔에스 체인저(DNS Changer) DNS는 Domain Name Service(또는 Server)의 줄임말이다. 우리가 웹 페이지에 접속할 때 사용하는 인터넷 주소는 사람이 기억하기 쉽게 영문으로 구성되어 있다. 예를 들어 안철수연구소 홈페이지는 home.ahnlab.com이다. 하지만 실제 인터넷상 주소는 IPv4, IPv6의 규약으로 127.0.0.1과 같이 숫자로 구성되어 있다. 즉, 영문으로 된 주소를 숫자로 된 주소로 변환해 주는 무언가가 필요한데 이 역할을 하는 것이 바로 DNS이다. 대부분 DNS는 해당 인터넷 서비스 제공 회사(ISP – Internet Service Provider)가 운영하는 DNS를 사용한다. 여기서 다시 한번 생각해 보면 A라는 주소를 입력 했을 경우 A라는 웹페이지로 연결이 되어야 하는데, A라는 주소를 입력 했음에도 B라는 웹페이지로 연결된다면 어떨까? 얼핏 보면 별일 아닌 것 같지만 접속하는 웹페이지가 어떤 곳이냐에 따라 그 결과는 천차만별이다. 만약 인터넷 뱅킹을 위해 은행의 웹페이지에 접속한다고 가정한다면? 디엔에스 체인저는 이런 점을 악용한 스파이웨어이다. 가짜 웹페이지를 만들어 놓고 사용자가 접속해서 입력하는 아이디와 비밀번호 등을 가로채기 위한 용도로 사용된다. 또는 각종 컴퓨터 보안 업체의 주소를 엉뚱한 곳으로 해서 보안 제품의 업데이트를 차단하기도 한다. 하지만 이런 디엔이스 체인저는 대부분 은폐되어 동작하기 때문에 사용자는 감염 여부를 확인하기가 쉽지 않다. 따라서 자신이 사용하는 ISP업체에서 제공하는 DNS 주소를 알아두고 이를 주기적으로 확인하는 습관이 필요하다. 윈도우에서 [시작] -> [실행] -> CMD 입력 후 [확인] 이후 [ipconfig /all] 을 입력하면 현재 연결된 네트워크 관련 설정을 확인할 수 있다.
그림 4 ipconfig /all 로 알아본 네트워크 연결 정보
이중 DNS Servers라는 항목을 볼 수 있는데 여기에 설정된 주소가 바로 DNS 서버의 주소다. DNS 서버의 주소는 만약의 사태를 대비해 2개를 설정해 놓고 있는 것이 보통이다. 이 주소를 잘 기억해 두고 변경 여부를 주기적으로 확인하는 것이 좋다. 또한 hosts라는 파일이 있다. 이 파일 역시 DNS와 비슷한 기능을 하는데 DNS는 특정 인터넷 서버에 접속해 주소를 알아오는 반면 hosts파일은 자신의 컴퓨터에 있는 정보를 이용하므로 상대적으로 속도가 빠른 장점이 있다. 따라서 인터넷 이용을 위해 주소를 입력하면 먼저 이 hosts 파일을 확인해서 해당하는 주소가 있으면 그 주소로 바로 접속을 하며, 없으면 DNS 서버로부터 해당 주소를 얻어와 접속을 한다. 이 파일은 %WINDIR%\system32\drivers\etc\hosts 로 존재한다. 특별히 수정을 하지 않았다면 127.0.0.1 localhost라는 하나의 항목만 존재한다. 하지만 다른 주소가 추가 되어 있다면 이 역시 위조된 가짜 페이지로 접속하게 하거나, 컴퓨터 보안 제품의 업데이트를 방해할 목적으로 변경 되었을 가능성이 매우 높다. 참고로 127.0.0.1은 현재 자신의 컴퓨터 주소를 말하는 것으로 다른 인터넷 주소가 127.0.0.1로 설정되어 있다면 이는 해당 서비스에 접속을 차단하기 위한 목적이라고 볼 수 있다. 이렇게 DNS와 host 정보를 변경하는 스파이웨어의 경우 개인의 중요 정보 유출과 컴퓨터 보안 제품의 업데이트를 차단하는 등 그 피해가 상상을 초월할 수 있으므로 발견 즉시 신뢰할 수 있는 컴퓨터 보안 업체의 도움을 받아 문제를 해결 해야 하며, 해결이 끝난 후 가급적 자신이 접속했던 서비스의 비밀번호를 변경하는 것이 좋다.@
박시준 프로필 사진

박시준 악성코드 분석가

AhnLab에서 악성코드 분석 업무를 담당하고 있으며 “안랩 칼럼니스트”로 활동하고 있다. 다양한 분야에 대한 스키마를 쌓는 것을 좋아하며, 세상을 함께 살아가는 구성원으로서 다른 누군가에게 조금이라도 도움이 되었으면 하는 마음 가짐으로 오늘도 열심히 하루를 살아가려고 노력하고 있다.

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.