지난 시간에 파밍에 대한 글을 적어보았습니다. 오늘은 파밍(Pharming,ファーミング)으로 인한 호스트 파일 변조 확인과 조치방법에 대해 알아보는 시간을 가져 보겠습니다. 기본적으로 파밍에 안 당하려면 윈도우 보안갱신 참고로 윈도는 정기적으로 한국시각으로 매월 둘째 주 수요일에 보안갱신을 제공하고 있습니다. 물론 긴급갱신이 있으면 정기갱신 기간이 아니더라도 갱신이 이루어집니다. 그리고 보안프로그램설치 쉽게 이야기하면 안티바이러스 프로그램(백신프로그램)설치입니다. 그리고 자신이 사용하는 서든 파티 프로그램은 항상 최신업데이트로 유지일 것입니다. 즉 모든 것의 시작은 기초입니다. 물론 지난 시간에 다루었던 내용의 반복되는 부분이 있습니다.

일단 호스트 파일위치에 대해 알아보겠습니다. 복습을 하는 과정으로 Hosts(호스트) 파일 위치는 Windows\system32/driver/etc 폴더에 hosts라는 부분으로 얌전하게 저장이 돼 있습니다. 물론 해당 파일의 내용을 보려면 메모장 등으로 강제로 열어버리면 해당 내용을 볼 수가 있습니다.

정상적인 hosts정상적인 hosts

호스트 파일 변조 확인을 하려고 자신이 직접 해당 위치로 가서 메모장으로 강제적으로 열어서 보는 방법이 있습니다. 다음 방법은 블로그에서 소개한 보안 프로그램 HiJackThis가 있습니다. 일단 HiJackThis는 트렌드마이크로에서 제작해서 무료로 배포하는 프로그램입니다. 해당 프로그램을 이용한다면 간단하게 브라우저 하이재킹, 악성코드가 설치되었는지 의심스러울 때 사용하는 도구이기도 합니다. 일단 해당 프로그램을 실행을 시키면 아래와 같은 화면을 볼 수가 있습니다. 정말 간단하게 생긴 것을 확인할 수가 있습니다. 일단 간단하게 로그파일을 저장하기 싫은 분들은 두 번째 Do a System scan only를 눌러주면 됩니다. 일단 보시면 간단하게 Hosts 파일이 변조되기 전의 검사 결과입니다. 보시는 거와 첫 번째로 보이는 Hosts(호스트) 부분에는 깔끔하여져 있는 것을 확인할 수가 있습니다.

HiJackThis 메인HiJackThis 메인예1) HiJackThis 검사예1) HiJackThis 검사

제가 그럼 임의적으로 한번 호스트 파일을 변조해보았습니다. 그리고 다시 HiJackThis를 실행시켜보면 전에와는 다르다는 것을 확인할 수가 있습니다. 보시면 호스트 파일이 변조된 것을 확인할 수가 있습니다. 그럼 한번 해당 부분을 정상적인 호스트 파일로 변경을 해보겠습니다. 정상적으로 호스트파일을 변경하는 방법은 간단합니다. 여기서 HiJackThis Fix Checked가 보일 것입니다. 해당 부분체크를 해주고를 한번 눌러주면 끝입니다. 그러면 정상적으로 호스트 파일이 변경되는 것을 확인할 수가 있습니다.

예1) 정상적인 Hosts(호스트) 파일예1) 정상적인 Hosts(호스트) 파일예2) 변조된 Hosts(호스트) 파일예2) 변조된 Hosts(호스트) 파일예3) 변조된 Hosts(호스트) 파일예3) 변조된 Hosts(호스트) 파일

물론 해당 호스트 파일은 따로 백업이 이루어지고 fix 한 부분을 볼 수가 있습니다. 참고로 해당 하이재디스를 실행하려면 관리자 권한으로 실행을 해주시면 됩니다. 미리 프로그램 속성 부분에서 관리자권한으로 이 프로그램실행을 선택해주면 도움이 될 것입니다.

HiJackThis로 Hosts 수정 전HiJackThis로 Hosts 수정 전HiJackThis로 Hosts 수정 후HiJackThis로 Hosts 수정 후

미리 프로그램 속성 부분에서 관리자권한으로 이 프로그램실행을 선택해주면 도움이 될 것입니다.

HiJackThis 관리자 권한 실행HiJackThis 관리자 권한 실행

그리고 HiJackThis를 사용할 때 해당 부분을 자세히 모르면 Fix 버튼을 눌러주면 최악에는 프로그램을 다시 설치해야 하는 경우도 발생합니다. 그리고 이런 호스트 변조를 통한 파일변조를 통한 개인정보유출을 막으려고 다른 은행들은 어떠한지 모르겠지만, 국민은행에서는 해당 호스트 방지를 위한 파밍차단 보안프로그램을 제공하는 것을 확인했습니다.

해당 보안 프로그램을 설치하면 아래와 같이 시계 있는 부분에 자리를 잡는 것을 확인할 수가 있습니다. 일단 그다지 특별한 동작을 하지 않는 것처럼 보이지만 보시는 거와 같이 서비스 항목에서 정상적으로 동작하는 것을 확인할 수가 있습니다. 그럼 다시 호스트 파일을 변조를 해보겠습니다. 그러면 아래와 같이 변경 후 와 변경 전의 볼 수가 있고 호스트 파일을 복원할 수 있게 도와주고 있습니다.

파밍차단 보안프로그램 실행중파밍차단 보안프로그램 실행중파밍차단 보안프로그램 호스트 변조 차단파밍차단 보안프로그램 호스트 변조 차단

일단 개인적인 생각을 적자면 그냥 파밍을 하기 전에 악성코드를 감염을 시켜야 하는 과정을 즉 Adobe Flash Player, Java, Windows 보안갱신 등(이)가 이루어지지 않는 컴퓨터가 인터넷뱅킹 악성코드를 사용자의 컴퓨터를 감염을 시키려고 웹사이트를 방문 시 보안갱신이 이루어지지 않으면 자동으로 내려받기 설치가 되어 감염되는 방법이 사용되고 있으니까 반드시 보안갱신은 이루어져야 할 것입니다.

국민은행

또한, 조금전에 소개해준 국민은행에서 제공하는 파밍차단 보안프로그램은 굳이 설치를 안 하더라도 자신이 사용하는 안티바이러스 프로그램(백신프로그램)들을 설치하고 잘 관리한다면 굳이 설치를 할 필요가 없는 부분일 것입니다. 그리고 공인인증서 같은 것은 USB 메모리에 관리를 해주시고 USB 메모리에 관리하더라고 트루크립트 같은 것을 함께 사용한다면 USB 메모리를 분실한 때도 안전하게 공인인증서가 다른 사람에게 노출되는 것을 줄일 수가 있을 것이며 USB Vaccine(USB 백신프로그램)도 설치해서 사용한다면 도움이 될 것입니다.


Posted by Sakai

댓글을 달아 주세요

  1. 핑구야 날자 2013/05/29 17:58  댓글주소  수정/삭제  댓글쓰기

    새로운 방법을 알고 갑니다.많이 배웠어요

  2. joogunking 2013/10/11 19:13  댓글주소  수정/삭제  댓글쓰기

    요즘 정말 파밍이 극성이더군요.
    저는 Hosts 파일을 수정해서 광고를 차단하고 있는데 어느 순간 광고가 다시 나오는 경우가 있더라구요. hosts파일을 열어보면 변조가 되어있고.. 최근들어 그런 일이 한두번이 아닙니다.
    위 방법이 많이 도움이 되었습니다. 감사합니다.

    • Sakai 2013/10/12 01:07  댓글주소  수정/삭제

      호스트 파일을 변조해서 광고를 차단하는 방법은 좋은 방법은 아니라고 생각이 됩니다.다른 부가프로그램이나 브라우저의 종류에 따라 브라우저 부가기능을 이용하는 방법,일부 유료 보안 프로그램에서는 사이트차단 기능등을 이용하는 방법도 있습니다.



티스토리 툴바

Sakai