악성 스크립트가 삽입된 취약한 웹사이트 방문 시 감염될 수 있어 
[보안뉴스 김경애] 최근 올바른 홈페이지 주소를 입력해도 가짜 홈페이지로 유도되어 개인의 금융거래 정보를 탈취하는 파밍 사고가 지속적으로 발생하고 있는 가운데 host.ics를 이용해 파밍 사이트로 접속을 유도하는 징후가 포착됐다.


 ▲ 피싱 사이트 화면

안랩 ASEC 측에 따르면 파밍 사이트로 접속을 시도하는 피해 시스템들을 확인한 결과, DNS IP의 변경이나 hosts 파일의 변조도 일어나지 않은 상태에서도 공격자가 만들어 놓은 가짜 사이트로 접속을 시도하는 것을 확인할 수 있었다고 밝혔다.

 
원하는 웹사이트를 찾아갈 때, 사용자는 웹 브라우저에 해당 웹사이트의 URI 정보를 입력하지만, 웹 브라우저가 URI 정보를 확인하고 해당 웹사이트를 직접 찾아가는 것이 아니라 DNS를 통해 해당 웹 서버의 IP를 확인해서 연결된다는 것. 웹사이트를 찾아갈 때, 참조하는 정보와 우선순위를 살펴보면 아래와 같다.



① 로컬시스템의 DNS Cache 정보
② hosts.ics
③ hosts
④ DNS

여기에서 hosts.ics 파일은 일반적으로 사용하지 않는 인터넷 연결 공유(ICS: Internet Connection Sharing) 시 특정한 클라이언트의 IP를 강제로 지정하는 기능을 하는 파일이라고 안랩 측은 밝혔다.

안랩 측에 따르면 위순서와 같이 hosts.ics 파일이 존재하지 않을 경우, hosts 파일을 참조하게 되지만, 악성코드 제작자 입장에서는 각종 보안프로그램들이 주시하고 있는 hosts 파일을 굳이 변경하지 않더라도 우선순위가 높은 hosts.ics 파일을 변경해 생성하게 되면 원하는 파밍 사이트로 얼마든지 유도가 가능한 것으로 확인됐다는 것.

최초 유포지는 지속적으로 변경되고 있지만, 수집되는 악성파일들을 분석한 결과 변조된 업데이트 파일들이 아래 경로의 악성코드를 다운로드 받아 동작하게 된다는 사실을 확인했다고 안랩 측은 밝혔다.

☞ hxxp://www.*zs**.**m/e2.exe

위 악성파일이 다운로드 되면 C:\Windows\Tasks 폴더에 conime.exe 파일을 생성하게 되고, 악성코드가 서비스에 자신을 등록 후 외부 서버로부터 파밍에 이용될 사이트 정보를 지속적으로 참조한다. 이 과정에서 안랩 측은 해당 악성코드는 아래 경로에 hosts.ics 파일을 생성하게 되고, 지속적으로 모니터링하며 파밍 사이트를 갱신한다고 분석했다.

hosts.ics 파일의 우선순위로 인해 악성코드 감염 시 사용자들은 정상적인 금융권 사이트의 주소를 입력하더라도 아래와 같이 악성코드 제작자가 만들어 놓은 파밍 사이트로 접속을 하게 된다. 파밍 사이트는 어떠한 메뉴를 선택 하더라도 ‘전자금융 사기예방시스템’ 신청을 위한 개인정보 입력화면으로 이동하게 된다는 것.



 ▲ 입력되는 값이 형식과 맞지 않을 때의 에러 화면
개인정보 입력란에 위와 같이 쓰레기(TEST를 위한) 값을 입력할 경우, 입력되는 값들을 검증해 정해진 형식과 일치하지 않을 경우 위의 그림과 같이 에러 메시지가 발생한다. 이러한 사실로 보아 최근에 발견되는 대부분의 피싱이나 파밍 사이트들은 입력되는 값들을 무조건 수집하는 것이 아니라, 필터링을 통해 의미 있는 데이터들을 수집하고 있다는 것을 확인할 수 있다고 안랩 측은 설명했다.

최근에 확인되는 온라인 게임핵이나 파밍 관련 악성코드들은 대부분 PUP(불필요한 프로그램)의 업데이트 파일들의 변조를 통해 유포되거나, 악성 스크립트가 삽입된 취약한 웹사이트 방문 시 감염되는 경우가 많다는 것. 또한, 웹사이트, 블로그를 방문하는 경우에는 ActiveX와 P2P 프로그램의 설치 가능성을 더욱 세심히 살펴보고 설치여부를 결정해야 한다고 안랩 측은 밝혔다.

따라서 안랩 측은 [제어판]-[프로그램 추가/제거] 기능을 이용하여 PUP(불필요한 프로그램)은 사전에 제거하는 것이 바람직하다고 당부했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>