본문 바로가기
AhnLab 보안in

[안철수연구소 보안정보]도메인 네임 서버를 바꾸는 스파이웨어 _ DNS 체인저(changer)

by 보안세상 2020. 4. 6.

2008.11.30

 

디엔에스 체인저(DNS Changer)
DNS는 Domain Name Service(또는 Server)의 줄임말이다. 우리가 웹 페이지에 접속할 때 사용하는 인터넷 주소는 사람이 기억하기 쉽게 영문으로 구성되어 있다. 예를 들어 안철수연구소 홈페이지는 home.ahnlab.com이다. 하지만 실제 인터넷상 주소는 IPv4, IPv6의 규약으로 127.0.0.1과 같이 숫자로 구성되어 있다. 즉, 영문으로 된 주소를 숫자로 된 주소로 변환해 주는 무언가가 필요한데 이 역할을 하는 것이 바로 DNS이다. 대부분 DNS는 해당 인터넷 서비스 제공 회사(ISP – Internet Service Provider)가 운영하는 DNS를 사용한다. 여기서 다시 한번 생각해 보면 A라는 주소를 입력 했을 경우 A라는 웹페이지로 연결이 되어야 하는데, A라는 주소를 입력 했음에도 B라는 웹페이지로 연결된다면 어떨까? 얼핏 보면 별일 아닌 것 같지만 접속하는 웹페이지가 어떤 곳이냐에 따라 그 결과는 천차만별이다. 만약 인터넷 뱅킹을 위해 은행의 웹페이지에 접속한다고 가정한다면?

디엔에스 체인저는 이런 점을 악용한 스파이웨어이다. 가짜 웹페이지를 만들어 놓고 사용자가 접속해서 입력하는 아이디와 비밀번호 등을 가로채기 위한 용도로 사용된다. 또는 각종 컴퓨터 보안 업체의 주소를 엉뚱한 곳으로 해서 보안 제품의 업데이트를 차단하기도 한다. 하지만 이런 디엔이스 체인저는 대부분 은폐되어 동작하기 때문에 사용자는 감염 여부를 확인하기가 쉽지 않다.
따라서 자신이 사용하는 ISP업체에서 제공하는 DNS 주소를 알아두고 이를 주기적으로 확인하는 습관이 필요하다.

윈도우에서 [시작] -> [실행] -> CMD 입력 후 [확인] 이후 [ipconfig /all] 을 입력하면 현재 연결된 네트워크 관련 설정을 확인할 수 있다.

그림  ipconfig /all 로 알아본 네트워크 연결 정보


이중 DNS Servers라는 항목을 볼 수 있는데 여기에 설정된 주소가 바로 DNS 서버의 주소다. DNS 서버의 주소는 만약의 사태를 대비해 2개를 설정해 놓고 있는 것이 보통이다.
이 주소를 잘 기억해 두고 변경 여부를 주기적으로 확인하는 것이 좋다.

또한 hosts라는 파일이 있다. 이 파일 역시 DNS와 비슷한 기능을 하는데 DNS는 특정 인터넷 서버에 접속해 주소를 알아오는 반면 hosts파일은 자신의 컴퓨터에 있는 정보를 이용하므로 상대적으로 속도가 빠른 장점이 있다. 따라서 인터넷 이용을 위해 주소를 입력하면 먼저 이 hosts 파일을 확인해서 해당하는 주소가 있으면 그 주소로 바로 접속을 하며, 없으면 DNS 서버로부터 해당 주소를 얻어와 접속을 한다. 이 파일은 %WINDIR%\system32\drivers\etc\hosts 로 존재한다.

특별히 수정을 하지 않았다면 127.0.0.1 localhost라는 하나의 항목만 존재한다.
하지만 다른 주소가 추가 되어 있다면 이 역시 위조된 가짜 페이지로 접속하게 하거나, 컴퓨터 보안 제품의 업데이트를 방해할 목적으로 변경 되었을 가능성이 매우 높다. 참고로 127.0.0.1은 현재 자신의 컴퓨터 주소를 말하는 것으로 다른 인터넷 주소가 127.0.0.1로 설정되어 있다면 이는 해당 서비스에 접속을 차단하기 위한 목적이라고 볼 수 있다.

이렇게 DNS와 host 정보를 변경하는 스파이웨어의 경우 개인의 중요 정보 유출과 컴퓨터 보안 제품의 업데이트를 차단하는 등 그 피해가 상상을 초월할 수 있으므로 발견 즉시 신뢰할 수 있는 컴퓨터 보안 업체의 도움을 받아 문제를 해결 해야 하며, 해결이 끝난 후 가급적 자신이 접속했던 서비스의 비밀번호를 변경하는 것이 좋다.@

 

칼럼니스트

박시준 | 안철수연구소 악성코드 분석가

안철수연구소에서 악성코드 분석 업무를 담당하고 있으며 “IT 칼럼니스트”로 활동하고 있다. 다양한 분야에 대한 스키마를 쌓는 것을 좋아하며, 세상을 함께 살아가는 구성원으로서 다른 누군가에게 조금이라도 도움이 되었으면 하는 마음 가짐으로 오늘도 열심히 하루를 살아가려고 노력하고 있다.

'AhnLab 보안in' 카테고리의 다른 글

[안철수연구소 보안정보]가짜 백신에 당하지 않는 방법  (0) 2020.04.06
[안철수연구소 보안정보]휴대폰, 스마트폰에 바이러스 등 악성코드가 있다? 없다?  (0) 2020.04.06
안철수연구소 보안정보_웃기거나 치명적이거나, 스파이웨어 조커(Joker)  (0) 2020.04.06
3929.cn 웹사이트로 자동 변경되는 악성코드 전용백신_안철수연구소  (0) 2020.04.06
내 컴퓨터에 대한 사양 제대로 알아보기  (0) 2020.04.06

관련글

티스토리툴바