파밍이란 무엇이며 어떻게 예방할 수 있나요?

이 시대에 속는 컴퓨터 사용자는 점점 더 드물어지고 있습니다. 인터넷에서 악성 소프트웨어 교육이 보편화되면서 사람들은 수백만 달러를 당첨되었다고 주장하는 사기 이메일에 쉽게 속지 않게 되었습니다.

하지만 해커들이 덜 단호해졌다는 의미는 아닙니다. 그들은 더 똑똑하게 일해야 했을 뿐입니다. 회사 인프라를 염탐하고 상사의 주소에서 직원들에게 이메일을 보내는 것부터, 사용자의 페이스북 계정을 탈취하고 친구에게 메시지를 보내는 것까지, 신뢰의 남용은 요즘 해킹의 선택 방법입니다.

그들이 가지고 있는 한 가지 방법은 사용자의 컴퓨터를 합법적인 URL에서 가짜 복사본으로 리디렉션하여 사용자가 정보를 입력할 때 로그인 세부 정보를 획득하는 것입니다. 이것을 “파밍”이라고 하며, 그 방법이 꽤 무서울 수 있습니다. 여기서 우리는 파밍이 무엇인지, 그리고 어떻게 작동하는지 설명하겠습니다.

파밍이란 무엇인가요?

파밍은 두 가지 공격 벡터인 DNS 오염과 피싱을 결합한 두 단계의 프로세스입니다. 두 가지의 강점을 활용하여 사람들을 빠뜨릴 수 있는 매우 그럴듯한 함정을 만듭니다. 피싱이 미끼를 던지고 사람들이 그것을 잡기를 바라는 방식으로 작동하는 반면, 파밍은 전체 DNS 서버를 장악하고 사람들을 가짜 웹사이트로 리디렉션할 수 있습니다.

따라서 “파밍이란 무엇인가요?”라는 질문에 답하기 위해서는 먼저 그것이 기반하고 있는 두 가지 구성 요소를 분석하고 서로 어떻게 상호작용하여 전체 파밍 공격을 형성하는지 살펴봐야 합니다.

DNS 오염

pharming-dns-poisoning

이 공격 벡터가 얼마나 악의적인지 이름만으로도 알 수 있습니다! DNS 오염은 DNS 조회를 탈취하여 작동합니다. 웹 주소(예: www.facebook.com)를 입력하면 컴퓨터는 이를 IP 주소로 변환해야 합니다. 이는 컴퓨터가 “페이스북”이 무엇인지 이해하지 못하기 때문입니다! URL은 우리가 웹사이트 주소를 기억하기 쉽게 하기 위해 존재합니다. 그러나 컴퓨터는 IP 주소가 무엇인지 알고 있습니다. 따라서 페이스북과 통신하기 위해 컴퓨터는 URL을 IP 주소로 변환합니다.

이들은 DNS 서버에 질의하여 URL과 IP 주소의 주소록처럼 작용합니다. DNS 서버를 사용하여 URL의 IP 주소(www.facebook.com -> 157.240.1.35)를 찾고, 이를 사용하여 페이스북 서버와 통신합니다. 컴퓨터가 URL의 IP 주소를 발견하면 캐시에 주소를 기록할 수 있습니다. 이는 같은 IP 주소를 반복해서 조회하는 데 시간을 낭비하지 않기 위함입니다. 이 예에서 컴퓨터는 www.facebook.com이 157.240.1.35로 간주된다는 것을 캐시에 기록합니다.

DNS 오염은 두 가지 방식으로 작동합니다: 개별 PC의 캐시에 접근하여 IP 주소를 변경하여 악성 웹사이트로 유도하거나, DNS 서버 자체를 감염시켜 조회를 수행하는 PC가 “감염된” 결과를 얻도록 합니다. 두 경우 모두 사용자가 브라우저에 “www.facebook.com”을 입력하면 “오염된” 가짜 IP 주소를 로드하게 됩니다.

피싱

pharming-phishing

DNS 오염은 공격자가 사용자를 합법적인 사이트에서 악성 사이트로 유도할 수 있게 해줍니다. 사용자가 주소를 올바르게 입력했음에도 불구하고 말이죠. 그러나 이것은 첫 번째 단계일 뿐입니다. 결국, 단순히 사용자를 다른 웹사이트로 리디렉션하는 것만으로는 큰 의미가 없습니다! 오염과 결합하여 해커들은 피싱을 사용하여 단순한 리디렉션을 이익으로 전환할 수 있습니다.

우리의 예에서 공격자는 사용자를 페이스북에서 공격자가 선택한 웹사이트로 리디렉션하고 있습니다. 공격자가 선택할 수 있는 옵션은 많지만, 파밍 공격에서는 공격자가 페이스북과 동일하게 보이도록 미리 설정한 웹사이트를 선택합니다. 사용자가 브라우저에 www.facebook.com을 입력하면 DNS 오염이 그들을 해커의 가짜 페이스북으로 리디렉션합니다.

이제 사용자가 가짜 사이트에 접속하게 되면, 사이트는 사용자에게 페이스북 로그인 자격 증명을 요청합니다. 사용자는 실제 페이스북 사이트에 있다고 믿고 로그인 세부 정보를 입력하고 해커에게 정보를 전송하여 파밍 공격을 완료합니다.

무엇을 할 수 있나요?

우선, DNS 서버는 일반적으로 사용자가 사용하는 ISP가 소유하고 있다는 것을 아는 것이 유용합니다. 따라서 DNS 서버에 대한 파밍 공격을 피하기 위해 신뢰할 수 있는 ISP를 선택해야 합니다. 좋은 ISP는 파밍에 대해 알고 있으며, 서버가 오염되지 않도록 보호하는 대책을 가지고 있을 것입니다.

하지만 파밍이 자신의 컴퓨터 파일을 감염시키는 데 있어 약점은 무엇일까요? 우선, 항상 좋은 안티바이러스 또는 안티멀웨어 솔루션이 설치되어 있는지 확인하세요. 이러한 솔루션은 컴퓨터의 주소 캐시 파일에 대한 편집을 감지하고 피해가 발생하기 전에 경고할 수 있어야 합니다.

안티바이러스가 없더라도, 자신의 지혜를 사용하여 파밍 공격을 막을 수 있습니다. 소셜 미디어나 은행 사이트와 같은 인기 있거나 안전한 웹사이트에 접근할 때 주소 표시줄에 자물쇠 아이콘과 URL 시작 부분에 “HTTPS”가 표시됩니다. 이는 웹사이트가 권위 있는 제3자에 의해 검증되어 주장하는 대로임을 의미합니다. 따라서 인증서를 부여받았으며, 통신이 암호화되었습니다.

물론, 파밍 공격이 사용자를 스푸핑 사이트로 리디렉션했다면, 그 사이트는 진짜임을 식별하는 인증서를 가지고 있지 않아야 합니다. URL이 실제와 동일하게 보이더라도, 인증서가 누락된 것을 보는 것은 명백한 신호입니다. 인기 있는 사이트에 로그인할 때 HTTPS 인증서가 존재하는지 확인하세요. 인증서가 갑자기 “사라진” 것을 발견했다면, 뭔가 이상한 일이 일어나고 있을 수 있습니다!

파밍 속이기

복잡한 공격 벡터를 생성하기 위한 여러 단계가 있는 파밍은 다소 무서울 수 있습니다. 이제 파밍이 무엇인지, 그리고 어떻게 작동하는지에 대한 세부 정보를 알게 되었습니다. 더 나아가, 당신이 날카롭고 안전한 ISP를 사용한다면 파밍의 희생자가 되는 것에 대해 걱정할 필요가 없을 수도 있습니다.

당신이나 당신이 아는 누군가가 현실적인 웹사이트에 속은 적이 있나요? 아래에 알려주세요.