DNS 스푸핑과 피싱을 결합한 공격...DNS 공격 주의
[보안뉴스 오병민] 최근 국내 유명 커뮤니티 사이트인 ‘뽐뿌(ppomppu.co.kr)’와 인터넷신문 ‘투데이코리아(todaykorea.co.kr)’가 해킹 공격을 받아 많은 사용자들의 개인정보가 유출된 것으로 확인됐다. 이 두 사이트가 해킹당한 이유는 DNS 호스팅 업체의 ID와 패스워드가 노출됐기 때문으로 파악되고 있다.
두 사이트는 1월 9일부터 악성공격자에 의해 해킹 공격을 받았다. 공격자들은 사이트 자체에 피해를 입히지는 않았지만 사용자들에게 피해를 입혔다. 해킹당한 기간 동안 공격자들은 로그인으로 접속한 사용자들의 ID와 패스워드를 빼내간 것으로 파악되고 있다.
▲뽐뿌 사이트의 해킹 공지 ⓒ보안뉴스
전문가들은 이번 공격에 대해 도메인을 IP 주소로 변환해주는 DNS(Dmain Name System)를 공격해 다른 사이트로 연결시키는 ‘DNS 스푸핑(DNS spoofing)’과 가짜페이지를 만들어 사용자를 속이는 피싱(Phishing)을 결합한 공격이라고 설명한다.
즉 공격자는 미리 해당 사이트의 도메인을 바꾸기 위해 DNS 관리업체의 ID와 패스워드를 탈취해 자신들이 만든 DNS로 이동하게 하고, 이 DNS는 다시 피싱(가짜)페이지로 연결하는 방식이다.
이 과정에서 다른 피해 사이트가 또 드러나게 된다. 공격자가 이용한 DNS 역시 특정 사이트의 서버를 해킹해 만든 것이기 때문이다.
뽐뿌와 투데이코리아의 DNS 스푸핑 공격에 이용된 DNS는 데브피아(www.devpia.com)라는 개발자 커뮤니티 사이트였다.
데브피아의 관계자는 “최근 홈페이지 서버에서 웹쉘(Webshell)이 삽입된 것을 확인하고 한국인터넷진흥원의 조언을 바탕으로 보안 점검을 시작했다”면서 “앞으로는 보안에 더욱 관심을 가지고 지속적으로 보안점검을 실시할 것”이라고 밝혔다.
웹쉘은 공격자가 원격에서 웹서버에 명령을 수행할 수 있도록 만든 악성코드이다. 데브피아에 삽입된 웹쉘은 뽐뿌나 투데이코리아 접속시 DNS를 변경시켜 피싱사이트로 연결하는 기능을 가지고 있었던 것으로 전해지고 있다.
피해 사이트들의 대응 방법들...
‘뽐뿌’ 사이트의 관리자는 지난 1월 15일 ‘뽐뿌 해킹사건 정리합니다.’라는 공지글을 올려 해킹 사건에 대한 원인과 조치사항을 회원에게 공개했다. 그리고 뽐뿌 사이트 운영자는 사용자들에게 “이 시간에 로그인 하신 분은 비번은 변경해 주시고... 바이러스 체크해 주시기 부탁드립니다”라고 당부했다.
인터넷신문인 ‘투데이코리아’ 역시 같은 피해를 입었다. 네임서버가 바뀌어 이 사이트를 복제해 개인정보를 탈취하는 피싱 사이트에 연결되는 것. 따라서 투데이코리아의 독자들도 뽐뿌 사용자들과 같은 피해를 입은 것으로 알려지고 있다.
▲투데이코리 사이트의 해킹 기사 ⓒ보안뉴스
투데이코리아측은 이와 관련해 ‘닷네임코리아 고객정보 대량 유출로 본보도 피해’라는 기사를 게재하면서 닷네임코리아의 고객정보가 대량으로 유출돼 해킹피해를 입고 있다고 주장했다.
그러나 닷네임코리아측 관계자는 “사용자(투데이코리아)측에서 네임서버 변경에 필요한 ID와 비밀번호 관리가 소홀해 유출된 것으로 예상되며, 이 같은 사례는 예전에도 몇 차례 있었다”고 주장하면서 “네임서버 변경이 로그인 페이지를 통해 진행된 로그(기록)를 해당사이트 관리자에게도 전달했다”고 밝혔다.
DNS에 대한 공격 증가...보안패치도 악성코드로
최근 DNS에 대한 공격이 크게 증가하고 있다. 특히 이런 공격은 도메인 포워딩이나 호스팅 회사에 집중되고 있는 것으로 전해지고 있다. 한 예로, 얼마전 국내 유명 도메인 포워딩 업체인 후이즈의 DNS에 DDoS 공격이 발생해 많은 사용자들이 피해를 입기도 했다.
보안업계의 한 전문가는 “DNS를 노린 공격이 증가하고 있는 이유는 해킹의 패러다임의 변화와 관계가 있으며, 이런 변화는 해킹이 과시하기 위한 수단에서 금품을 노린 조직적인 범죄 수단으로 변화를 의미한다”라고 이야기 한다.
DNS에는 인터넷 이용자가 접속에 필요한 도메인 정보가 모두 들어있기 때문에 공격을 받을 경우 불특정 다수에게 피해를 입힐 수 있다. 이는 개별 서버를 하나하나 공격하는 것보다 광역적인 피해를 입힐 수 있다는 것을 의미한다.
특히 전문가들은 최근 DNS 공격의 등장은 시작에 불과하며 다양한 패턴의 공격이 나타날 수 있기 때문에 DNS 보안에도 많은 관심을 가져야 한다고 주장한다.
한 보안 전문가는 “이번에 나타난 DNS 스푸핑 공격은 아주 기초적인 공격에 불과하며 앞으로는 새로운 패턴의 공격이 나타날 수 있다”면서 “가령 마이크로소프트에서 새로운 보안패치가 나왔을 때, DNS 정보를 변경한 것만으로도 보안패치 대신 악성프로그램을 설치할 수도 있다”고 경고했다.
[오병민 기자(boan4@boannews.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>
.png){kind=spacer}
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
