파밍의 원리는 바로 ‘이름풀이(Name Resolution)’

[보안뉴스=조근영 빛스캔 연구원] 지난 2월부터 국내에서 활동을 시작한 금융 관련 파밍으로 인해 연일 피해가 속출하고 있다. 게다가 ‘스미싱’이라는 모바일 파밍까지 기승을 부리고 있어 피해가 증가하고 있다.

이러한 파밍의 주요한 핵심 원리는 바로 ‘이름풀이(Name Resolution)’에 있으며, 최근 공격자가 사용하는 기법을 분석하고 현재까지 국내에서 사용할 수 있는 파밍캅(파밍 차단 솔루션)의 성능 검증, 마지막으로 보완해야 할 부분은 무엇인지 제시하고자 한다.

먼저 이름풀이(Name Resolution)이라는 용어에 대해서 알아야 한다. 일반적으로 DNS(Domain Name System)라고도 하며, 주로 사용하는 친숙한 도메인 이름(ex. www.naver.com)을 실제 웹서버가 운영되는 IP주소(ex. 111.222.111.222)로 이름을 해석해주는 것을 말하며, ‘풀이’, ‘변환’, ‘해석’ 등 다양한 용어가 사용되지만 이 글에서는 ‘이름풀이’라고 부르기로 한다.

파밍에는 보통 다음과 같이 두 가지 방법이 사용되고 있다.

1. hosts 파일을 변조하는 방법

                     ▲ hosts 파일에 파밍으로 이용되는 IP 주소를 추가한 화면

2. IE의 BHO(Browser Helper Object)를 이용하여 변조하는 방법

     ▲ BHO을 통해 파밍 공격이 진행된 화면

그리고 경남지방경찰청에서는 파밍으로 인한 피해를 줄이기 위해 ‘파밍캅’이라는 소프트웨어를 개발(www.gnpolice.go.kr/gn_pr/sub02.asp?idx=4187)해 제공하고 있으며 최근 2.0 버전까지 갱신됐다.  

          ▲ 파밍캅 실행 화면(출처: 경남지방경찰청 홈페이지)

파밍캅은 hosts 파일에 입력되는 주소들 가운데 국내 은행 IP를 모두 확인하여 변조된 경우 이를 알려주고 복구하는 요긴한 기능을 제공한다. 하지만 BHO를 이용하여 변조하는 파밍은 예방할 수 없는 한계를 가지고 있으며, 해당 홈페이지에서도 이러한 부분을 안내하고 있다.

지난 4월초에 hosts.ics 파일을 변조하는 새로운 형태의 파밍 기술이 발견됐다. hosts.ics 파일은 일반적으로 사용하지 않는 파일로 인터넷 연결 공유(ICS, Internet Connection Sharing)시 특정한 클라이언트의 IP를 강제로 지정하는 기능을 한다.

더욱 재미있는 점은 이름풀이 과정에서 hosts.ics 파일의 우선 순위가 있다는 것으로, 이는 공격자가 보안이나 네트워크에 대한 수준 높은 기술을 보유하고 있다고 추정할 수 있다. 참고로 hosts.ics는 hosts 파일 다음의 우선순위를 가지며 DNS보다 높다.

① Local DNS Cache: ipconfig /displaydns로 확인 가능

② hosts 파일

③ hosts.ics 파일

④ DNS

⑤ INS

아래 화면은 지난 주에 국내에서 유포된 파밍 악성파일 중에 hosts.ics 파일을 활용하여 감염된 경우 파밍이 이뤄지는 상태를 보여주고 있다.

       ▲ hosts.ics 파일에 파밍으로 이용되는 IP 주소를 추가한 화면

hosts.ics 파일을 사용하고, hosts. 파일에는 백신의 기능을 우회하도록 IP를 변조하는 행위로 미루어볼 때 공격자는 국내의 금융환경, 보안환경, 더 나아가 파밍캅과 같은 파밍을 대응하기 위한 솔루션까지도 면밀히 검토하여 공격하는 것으로 보인다.

앞에서도 언급했지만, 파밍캅의 경우 다음의 2가지 한계를 가지고 있는 것으로 예상된다.

① hosts 파일 내에 은행 관련 IP 주소만 저장하고 있으며, 백신사의 접근 및 업데이트를 방해하는 IP 주소 입력시 진단하지 못하는 한계를 가진다. 따라서 최신 공격 기술을 분석하여 기능을 추가할 필요가 있다. 하지만 이 또한 추가할 데이터의 범위를 정하는 것 자체가 사후적 특성을 가지기 때문에 최신 공격에는 효과가 떨어질 수 밖에 없다.