메뉴 건너뛰기

오에스매니아 My Image하나의 작은움직임이 큰기적을

해커들 귀가 쫑긋! DNS 하이재킹 선호도가 높아지는 이유
 입력날짜 : 2017-03-29 16:15
  
 
트위터 보내기  페이스북 보내기  네이버 밴드 보내기  싸이월드 공감 보내기  카카오 스토리 보내기  구글 보내기   
일확천금 몸값보다 지속적인 수입 보장하는 광고 하이재킹에 공격 몰려

[보안뉴스 원병철 기자] 최근 중국을 비롯해 북한 등 다양한 국가의 해커가 한국 웹사이트를 공격하고 있다. 그중에서도 본지에서 보도한 바 있듯 인터넷 뱅킹을 노린 DNS 변조 파밍 등 DNS를 대상으로 한 공격이 늘어나고 있는데, 그 이유는 무엇일까? 

001(560).jpg

ICT 보안서비스 전문기업 한국통신인터넷기술에서 제공한 ‘F-Secure 2016 Threat Report’에 따르면, DNS 하이재킹은 공격자에게 솔깃한 공격 방식이다. 이 공격을 받은 피해자들은 대개 시스템 손상을 알아채지 못하며, 공격 자체를 보안업체가 정확하게 파악하기도 곤란하기 때문이다.

DNS 하이재킹 공격은 크게 두 가지 부류인데, △공격자에 의한 컴퓨터의 DNS 설정 변경(멀웨어 소프트웨어 또는 잠재적 유해 응용 프로그램인 PUA에 의함) △공유기 설정 변경(공유기와 연결된 모든 장비가 악성 DNS 서버로 향하는 거짓 설정을 수신함을 의미)이다. 공격자는 관리자 인터페이스의 로그인 패스워드를 알아내거나(사람들은 대개 공유기 초기 설정을 그대로 유지하므로 흔히 사용되는 방법이다), 공유기 소프트웨어의 취약점을 이용해 공유기를 해킹한다.

일단 DNS 설정이 변경되면, 공격자는 다양한 악의적인 행동을 취할 수 있다. 예를 들면, DNS 하이재킹 피해자가 트로이목마에 감염된 온라인 뱅킹 서비스에 접속하게 되면, 공격자는 패스워드를 갈취하거나 서비스 과정에 개입할 수 있게 된다.

또한, 피해자는 트로이목마에 감염된 소셜미디어 사이트에 접속함으로써 로그인 패스워드가 유출되어 개인정보 수집이나 신원도용에 악용될 수도 있다. 마지막으로 불법 DNS 서버는 피해자가 방문하는 합법적인 웹사이트의 광고도 변조할 수 있다. 변조된 광고는 약간 공격적인 것(팝업 광고, 팝언더 광고 등)부터 사용자가 예기치 않은 내용(음란물 사이트 광고, 비아그라 등), 심지어 사용자가 해서는 안 될 행동을 유도(컴퓨터가 감염됐으며 치료 사이트에 접속하라는 팝업)하는 광고까지 아주 다양하다.

F-Secure의 백엔드 시스템 자료에 의하면 전체 고객의 98%가 인터넷 서비스 공급자(ISP)의 DNS 서버를 사용하고 있다. 나머지 2% 중 절반은 공공 DNS 서버(구글 DNS와 같은)를, 나머지 절반은 ‘비공식’ 공개 DNS 서버를 사용하고 있는 것으로 드러났다. 

분석결과에 따르면, 마지막 1%가 사용하는 공개 DNS 서버는 대부분 합법적인 공개 DNS 서버로 밝혀졌다. 그 사용자의 10%~20%만이 사실상 불법 DNS 서버로 연결되는 것으로 추정된다. 따라서 전체 고객의 0.1%에서 0.2%가 DNS 하이재킹 공격을 받는 것으로 추정된다. 대다수는 라우터 하이재킹이 아닌 윈도우 멀웨어/PUA 캠페인에 의한 것으로 밝혀졌다.

DNS Unlocker와 Looksafe 관련 활동이 F-Secure가 파악하고 있는 하이재킹 중 시장점유율이 가장 높다. 앞서 말한 바와 같이, 악성 DNS 서버는 식별하기가 어렵다. 의심스러운 DNS 서버의 주소 중 손상된 사이트로 재접속된 주소를 검색해 복귀하는 IP 주소를 확인한다 하더라도 대부분의 경우 결정적인 증거를 확보할 수 없다. 

광고차단 프로그램이 사용하는 합법 DNS 서버일지라도 불법 서버처럼 보이는 경우도 있다. 안전하다고 평판이 난 서버도 공격자가 오염시켰을 수 있는데, 구별하기도 쉽지 않다. DNS 하이재킹의 배후 역할을 하는 이가 이 사실을 알고 악용할 가능성도 있다.

003(97).jpg


파악된 불법 DNS 서버의 대부분은 광고 하이재킹에 활용된다. 어떤 방식으로 하는 것일까? 위에서 설명한대로, 피해자 장비의 DNS 설정이 변경되어 손상된 DNS 서버에 접속되고, 손상된 서버는 google-analytics.com 같은 대체용 IP 주소를 제공한다. 그 다음 손상된 사이트는 브라우저가 기다리는 회신에 자바스크립트를 실행시켜 구글이 관장하지 않는 대체 또는 추가 광고가 피해자의 브라우저에서 실행되도록 하는 것이다. 공격자는 피해자가 검색하는 페이지에 광고가 뜨는 보상을 받는 방식이다.

DNS 하이재킹 피해자의 은행계좌에서 돈이 빠져 나가든지, 소셜미디어 계정이 멀웨어를 내보내기 시작한다든지 하게 되면, 피해자는 꽤 빠르게 하이재킹 사실을 알아차리고 문제를 해결할 수 있게 된다. 즉, 공격자가 피해자의 컴퓨터를 손상시키는데 투자한 시간은 단기적으로 보상받을지는 모르지만 꾸준한 수입을 가져다 주지는 않는다는 사실이다. 

반면에 광고 하이재킹으로 공격자는 꾸준히 현금을 챙길 수 있고, 피해자가 거의 알아채지 못하기 때문에 계속 감시망을 벗어나 수입을 올릴 수 있다.

결론적으로, DNS 하이재킹에 연루된 범죄자들은 영악하게도 일확천금보다는 꾸준하고 은밀한 수입을 선호하는 것으로 보인다.


출처:http://www.boannews.com/media/view.asp?idx=54022&page=1&kind=5

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다

의견쓰기::  상업광고, 인신공격,비방, 욕설, 아주강한음담패설등의 코멘트는 예고없이 삭제될수 있습니다. 회원정리 게시판

profile

shaula

2017.03.30 10:00
가입일:
총 게시물수: 2
총 댓글수: 547

역시 나쁜쪽으로는 머리가 잘돌아간다는....

profile

Bobono

2017.03.30 11:33
가입일: 2016:12.05
총 게시물수: 15
총 댓글수: 811

좋은 정보 고맙습니다.

profile

프리네

2017.03.30 23:58
가입일: 2016:05.06
총 게시물수: 310
총 댓글수: 13185

실속은 챙기겠다네요....대단들 하네요.

profile

hallasan

2017.04.09 13:51
가입일:
총 게시물수: 0
총 댓글수: 376

감사합니다

profile

대공

2017.09.02 15:13
가입일:
총 게시물수: 25
총 댓글수: 1064

대단한

List of Articles
번호 제목 글쓴이 날짜 조회 수
공지 보안 게시판 신설 file + 8 Op 2016-10-16 190
278 보안 소식 해킹으로부터 보호하기 위해 당신의 기기를 해킹하는 봇넷 발견 + 8 ordo 05-01 189
277 보안 소식 OLE 패키지로 악성 스크립트를 실행하는 문서파일 주의 + 7 ordo 05-01 121
276 일반 4차 산업혁명, 인텔리전스 보안은 선택이 아닌 필수다 + 7 ordo 05-01 121
275 보안 소식 PDF 첨부파일 기능을 악용하여 매크로 악성파일을 유포하는 새로운 방식 발견돼 + 7 ordo 05-01 117
274 일반 [대중문화와 사이버 개념 이해] ⑥자동차 해킹은 IoT 해킹의 해일이다 + 6 ordo 05-01 38
273 일반 [대중문화와 사이버 개념 이해] ⑧사이버 보안의 기본은 물리적 보안이다 + 6 ordo 05-01 47
272 일반 [대중문화와 사이버 개념 이해] ⑦사이버 세계의 확장, 브레인넷 시대의 도래 + 5 ordo 05-01 52
271 일반 [대중문화와 사이버 개념 이해] ⑤보안 프로그램도 악용될 수 있다 + 6 ordo 05-01 40
270 일반 [대중문화와 사이버 개념 이해] ④SNS의 지속 성장은 유용성과 보안성에 있다 + 5 ordo 05-01 41
269 일반 [대중문화와 사이버 개념 이해] ③해킹의 新패러다임은 실물 복제 고도화 + 6 ordo 05-01 42
268 일반 [대중문화와 사이버 개념 이해] ②사이버 보안기술의 핵심은 인간의 특성이다 + 6 ordo 05-01 56
267 일반 [대중문화와 사이버 개념 이해] ①모든 해킹의 단초는 인간이다 + 6 ordo 05-01 58
266 일반 페이스북 ‘좋아요’와 스팸 댓글 바꾸실래요? + 7 ordo 04-28 78
265 보안 소식 “Are you Happy?” 3.20·한수원 사태 北 해커들, 연합작전 개시 + 5 ordo 04-28 46
264 일반 인터폴, 아세안 지역서 C&C 서버 9000여개 적발 + 8 ordo 04-27 89
263 보안 소식 한국 비트코인 거래소 ‘야피존’ 해킹!...55억 규모 탈취 + 7 ordo 04-27 233
262 보안 소식 中 웜 바이러스, PC 14만 4,000대 감염 + 11 ordo 04-25 120
261 보안 소식 인니 해커들의 국내 홈피 해킹 일지! 속수무책 당해야만 하나 + 9 ordo 04-25 90
260 보안 소식 NSA 사이버 무기 판도라 상자 열렸다. file + 7 파란하늘 04-23 70
259 보안 소식 역대 최악 수준의 ‘컨피커 웜’ 공포, 랜섬웨어로 부활하나 + 11 ordo 04-22 121
258 보안 소식 시스코·아파치·VMware·오라클 등 글로벌 SW, 보안 패치 줄이어 + 5 ordo 04-22 140
257 일반 (ISC)²가 트럼프에게 사이버보안 행정명령 권고안 제시하다 + 4 ordo 04-21 50
256 보안 소식 국민의당 싱크탱크 홈피 디페이스 해킹 당해...현재도 접속불가 + 2 ordo 04-21 100
255 보안 소식 [긴급] 아이폰 사용자 정보도 탈취하는 몸캠 피싱 발견! + 6 ordo 04-20 111
254 보안 소식 [긴급] 셰도우 브로커스 공개 MS 취약점 악용 ‘랜섬웨어’ 출현 + 3 ordo 04-20 98
위로

Master of OS Mania
×

진정한 OS를 알아볼수 있는 전문가 집단.

오에스매니아 에 가입하십시요

그동안 보지 못한 신세계를 만날수 있습니다.