3월 8일부터 해당 DNS 서버 전면 차단돼

[보안뉴스 호애진] 악성코드인 ‘DNS 체인저(DNS Changer)’에 감염된 컴퓨터 사용자들은 3월 8일부터 인터넷 접속이 불가능해진다.

‘DNS 체인저’는 사용자의 컴퓨터를 감염시켜 해당 PC에 설정된 DNS 서버가 아닌 공격자가 운영하는 DNS 서버로 연결되도록 하는 악성코드의 한 종류다.

 

사용자가 문자로 된 도메인 네임을 입력하면 접속에 필요한, 숫자로 이뤄진 IP 주소로 바꿔주는 역할을 하는 서버가 바로 DNS 서버인데, 이를 바꾸는 것.

따라서 이 악성코드에 감염되면 사용자는 원치 않는 웹사이트로 리다이렉트된다. 공격자는 악의적인 웹사이트를 만든 후 제휴 프로그램이나 가짜 안티바이러스 프로그램을 판매해 그로부터 수익을 얻는다. 또 사용자가 입력한 아이디와 비밀번호를 가로채기도 한다.

이에 미국 연방수사국(FBI)는 지난해 11월, ‘오퍼레이션 고스트 클릭(Operation Ghost Click)’ 작전의 일환으로 워싱턴 DC에 있는 C&C 서버들을 찾아내는 한편, 이들을 운영하던 6명의 에스토니아인들을 검거했다. FBI는 해당 서버들을 합법적인 서버들로 교체했으며, 시스템 관리자들에게 이 악성코드를 탐지 및 치료할 수 있도록 지침을 발표했다.

그러나 이러한 노력에도 불구하고 아직 많은 컴퓨터들이 이 악성코드에 감염돼 있는 것으로 나타났다. 보안업체인 인터넷 아이덴터티(Internet Identity)가 2월 2일 발표한 보고서에 따르면, 미국 ‘포춘 500대 기업‘의 절반에 해당되는 기업들과 55개의 주요 정부 기관 중 27개의 기관들 중 적어도 1대의 컴퓨터가 DNS 체인저에 감염돼 있었다.

문제는 이 DNS 서버가 3월 8일까지만 운영된다는 점이다. FBI가 봇넷을 강제 폐쇄하고 서버들을 교체했지만 미 법원은 120일에 한해서만 이를 운영토록 지시했기 때문이다. 3월 8일이 지나면 해당 서버들은 전면 차단되기 때문에 DNS 체인저에 감염된 컴퓨터들은 인터넷 접속이 불가능해진다. 물론 IP 주소를 직접 입력하면 접속이 가능하다.  

DNS 체인저 워킹그룹에 따르면 현재 전 세계 45만대의 컴퓨터가 이 악성코드에 감염돼 있는 것으로 조사됐다. DNS 체인저는 변종도 많고, 보안 업데이트를 차단하는 경우도 있어 사용자들은 보다 주의를 기울여야 한다.

 

DNS 체인저 워킹그룹의 웹사이트를 방문하면 이를 탐지 및 치료하는 방법에 대해 자세히 안내받을 수 있다. 참고로 아비라의 경우, 안티바이러스 프로그램으로 악성코드를 제거한 후 DNS 리페어 툴로 DNS 셋팅을 바꿀 수 있다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>