사진제공 : 잉카인터넷

[디지털데일리 이민형기자] 최근 백신의 호스트 파일(hosts. hosts.ics) 변조 탐지를 우회하기 위해 아이피(IP) 대신 10진수, 16진수 숫자를 기재하는 수법이 등장해 주의가 필요하다.

호스트 파일은 웹브라우저가 도메인네트워크서버(DNS)에 접속하기 전 참조하는 시스템 파일이다. 이 파일이 변조될 경우 ‘www.naver.com(네이버)’ 등에 접속해도 정상 웹사이트가 아닌 파밍 웹사이트에 접속될 수 있다. 파밍 웹사이트는 정상 웹사이트와 동일한 것처럼 보이지만, 개인정보를 탈취하는 기능이 탑재돼 있다.

사진제공 : 잉카인터넷

일반적으로 변조된 호스트 파일에는 ‘1.1.1.1 www.xxxx.com’의 형태의 문구가 삽입돼 있으나, 대부분의 백신들을 이를 탐지해내고 원상태로 복구한다.

공격자들은 백신을 우회하기 위해 아이피 대신 10진수를 입력하는 수법을 사용하고 있다. 호스트 파일에 입력된 10진수는 16진수로 변경되고, 변경된 16진수는 최종적으로 10진수의 아이피로 변경된다. 웹브라우저는 이러한 주소 입력 방식으로도 웹사이트에 접근할 수 있다.

예를 들어 ‘4294967295 www.xxxx.com’이란 문구가 호스트 파일에 삽입돼 있다고 가정하자. 사용자가 www.xxxx.com에 접속을 요청할 경우, 웹브라우저는 10진수 ‘4294967295’를 16진수 ‘FFFFFFFF’로 변경하고, 최종적으로 ‘255.255.255.255’ 주소로 인식해 접속을 시도한다. 이를 통해 사용자는 정상적인 웹사이트가 아닌 파밍용 웹사이트로 접속하게 된다.

문종현 잉카인터넷 부장은 “공격자들은 백신과 보안 인증 수단을 회피하기 위해 다양한 수법을 사용하고 있다”며 “이번에 발견된 파밍사이트는 PC에 저장된 개인정보 뿐만 아니라 큐싱(QR코드+피싱) 등을 통해 모바일 개인정보도 탈취하고 있다. 안전지대가 점점 더 사라지고 있다”고 설명했다.

이 같은 피해를 예방하기 위해서는 운영체제와 백신 업데이트를 필히 실시하고, 개인정보(보안카드 등)의 입력을 요구할 경우에도 무시해야 한다. 상기 사진과 같은 팝업창이 지속적으로 뜰 경우 한국인터넷진흥원(☎︎118)을 통해 도움을 받을 수 있다.

<이민형 기자>kiku@ddaily.co.kr



네이버 뉴스스탠드에서 디지털데일리 뉴스를 만나보세요.
뉴스스탠드


  • IT언론의 새로운 대안-디지털데일리
    Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지
 
  • 동영상
  • 포토뉴스
삼성전자, 美 고가 프로젝터 점유율 1위 등극 삼성전자, 美 고가 프로젝터 점유율 1위 등극
  • 삼성전자, 美 고가 프로젝터 점유율 1위 등극
  • SK온, ”EV배터리 상태 직접 확인하세요“
  • LG화학, ‘제6회 대학생 광고 공모전’ 수상…
  • SK이노베이션, ‘힐링+스페이스’ 개최