분석(7) 해외금융 파밍을 통한 대형 금융사고

안녕하세요. 바다란 입니다.

 

금일자에 발견된 새로운 기사들을 모니터링 하다보니 다음과 같은 기사가 눈에 띄입니다.

일부 주요 부분을 발췌하면 다음과 같습니다.

 

http://www.donga.com/fbin/output?f=todaynews&code=b__&n=200702260116&main=1

 

《국제 금융 사기단이 ‘파밍(pharming)’이라는 신종 해킹 기법을 이용해 세계 65개 이상의 금융회사와 전자상거래 업체 고객들의 PC를 공격하고 개인정보를 훔치는 대형 금융사고가 일어났다. 25일 국내외 인터넷 보안 전문가와 금융계에 따르면 이 같은 해킹은 19일 호주에서 처음 일어났으며 급속히 확산돼 하루 평균 1000명 이상의 PC 접속자를 위장 사이트로 유도한 뒤 인터넷뱅킹 ID와 비밀번호 등의 정보를 빼갔다. 이런 사실은 22일 미국 보안업체인 ‘웹센스’에 의해 뒤늦게 밝혀졌으며 가짜 사이트들은 폐쇄됐다.》

 

파밍이라는 용어 자체는 기사에 잘 나타나 있기 때문에 특별히 설명을 하지는 않도록 하겠습니다만 부분적인 이해를 위해 개념적으로 설명을 하도록 하겠습니다..

 

 

DNS와  Internet

 

DNS [Domain Name server] 와 사용자의 PC에 존재하는 Host 파일과의 관계를 아시면 충분히 이해가 됩니다. 웹사이트에 접근하는 방법은 두 가지가 있습니다.

하나는 IP Address를 통한 접근 방법이고 또 다른 하나는 URL을 통한 접근 방법입니다. 특정 IP에 특정 URL을 매핑 시킨 정보를 가지고 있는 것이 DNS 이고 우리가 IP Address 설정시에 DNS IP를 지정하는 것도 입력하는 URL 과 URL이 위치한 실제 IP Address를 매칭 시킨 정보를 전달하여 해당 사이트로 이동하게 하기 위한 과정입니다.

 

DNS에 대한 공격이 주요하게 되는 것들도 모든 사용자들이 IP를 기억하여 특정 사이트에 접근 하기는 어렵습니다. 사용자가 인지하기 쉬운 것은 Naming 이죠. 따라서 DNS 서비스가 되지 않을 경우에는 인터넷 망에는 지장이 없으나 URL을 이용한 사이트 접근이 안되어 문제가 생기는 것입니다.

 

IP 주소로는 접근이 되지만 사용자가 인지하는 접근 방법은 URL을 통한 접근 방법이고 URL 주소가 실제 IP 주소로 매칭되는 정보를 찾아내어 DNS가 알려 주어야 하는데 알려 주지 않으니 접근이 안된다고 하는 것입니다.

 

현재 발생되는 인터넷 불통 및 연결 관련된 문제는 대부분 DNS 관련된 문제들이 많습니다. 원인이야 웜이나 바이러스에 의한 트래픽 증대도 있고 다양하지만 최종 사용자에게 미치는 영향은 원하는 사이트에 접근이 안되는 문제가 가장 크며 이 문제의 핵심에는 DNS가 존재합니다.

 

개인 PC에 존재하는 DNS의 기능을 Host 파일이 수행을 합니다. URL에 해당하는 IP Address를 개인 PC의 Host 파일에 넣어 두는 것이죠. 이럴 경우 DNS 서버에 문제가 있더라도 Host 파일에 등록된 URL은 문제없이 접속이 됩니다.

 

그럼 모든 IP Address의 매핑을 Host 파일에 저장을 한다면 문제는 없는가? 라는 질문에 원칙적으로는 그렇다라고 말 할 수 있습니다. 그러나 전 세계의 IP Address 전체와 URL 정보를 어떻게 얻을 수 있나요? 불가능 합니다. 유기적으로 갱신하고 URL을 기준으로 변경이 되는 IP 정보를 갱신 하기 위해 DNS 시스템이  존재합니다.

 

최상위 Root DNS 라고 불리는 것 부터 하위 DNS 까지 계층 구조를 이루고 있으며 갱신 시점은 일정 시간이 지난 이후 상위로 전달이 되고 최상위 Root DNS에서 일정 시간 이후 하위로 전달이 되는 구조로 되어 있습니다.

 

만약 새로운 URL과 IP를 전달 한다면 정확한 시간을 예정하는 것은 어렵지만 며칠 이내에 전 세계 시스템에서 URL을 통해 접근 할 수 있도록 계층적으로 구성이 되어 있습니다.

DNS의 이용은 이러한 유기적 구조를 통해 접근성을 확보하기 위해 필수적으로 사용이 됩니다.

 

파밍을 이야기 하다 부연설명이 길어졌습니다. 파밍이 사용하는 방법은 무엇일까요?

사용자 PC의 Host 파일을 조작하는 것은 어떤 의미 일까요?  서비스 하는 기업들은 URL을 등록하고 URL을 이용하는 사용자는 그 기업의 서비스를 신뢰하고 사용을 합니다. DNS에 등록이 된 URL과 IP Address는 어느정도 신뢰가 가능하다는 이야기 입니다.  이 신뢰를 이용하는 것이 파밍이라 할 수 있습니다.

 

사회공학적 해킹

 

사용자는 익숙한 URL을 입력하여 일반적으로 Web에 접근을 합니다. 이런 일반성을 이용하는 것이 파밍이며 DNS 서버에 URL에 대한 IP Address 질의를 던지기 이전에 사용자 PC의 Host 파일 설정이 우선순위가 높습니다. Host 파일을 먼저 확인한 이후 URL 목록이 없을 경우 DNS 서버에 질의를 합니다. 만약 Host 파일을 변경한다면?

 

당연히 Host 파일에 등록이 된 URL에 매핑된 IP Address가 실행이 됩니다. 즉 DNS에 존재하는 신뢰가 되는 Ip Address가 아닌 임의의 IP Address에 접근이 되는 것입니다. 은행 사이트도 마찬가지 이고 모든 사이트가 마찬가지 입니다. 이런 Host 파일을 변조하여 공격자가 사용자의 정보를 빼내가기 위한 사이트로 유도를 하려 합니다.

 

DNS 서버에 등록된 주소: www.xxx.com 111.111.111.XXX 

실제 DNS에 앞에서와 같이 기술이 되어 있다면 이 내용을 공격자가 바꾸는 것이지요. 사용자의 PC에 존재하는 Host 파일에 이렇게 바꿉니다.

사용자 PC의 HOST 파일:  www.xxx.com  222.222.222.xxx

이렇게 되었을 경우 DNS 서버에는 정상이지만 사용자 PC의 Host 파일이 변경된 경우 URL 입력창에 www.xxx.com 을 입력할 경우 222.222.222.xxx 사이트로 이동이 됩니다.

 

문제는 www.xxx.com 과 유사한 사이트 이미지를 만들어서 사용자 입력을 받도록 한다는 것이죠. 사용자는 자신이 매일 방문을 하는 사이트 이므로 의심없이 입력을 하게 됩니다. 피해가 대량으로 발생을 하죠. 우리나라의 경우 공인인증서가 활성화 된 상태라 공인인증서까지 가져가야 하기 때문에 피해가 거의 없었다고 할 수 있습니다.

 

올해 초에 발생된 신형의 경우 악성코드를 통해 Host 파일의 변조 , 공인인증서 파일의 외부 유출등을 실행 하였고 사용자가 해당 은행 접근 시에 위조된 사이트로 접근을 하게 된 경우입니다.

위조된 사이트에서 공인인증서 패스워드까지 입력하도록 함으로써 수상하다라는 인식을 빨리 하게 되어 문제가 커지기 전에 차단이 된 내용입니다.

 

그렇다면 해외는 어떨까요? 기사에 나타난 내용대로라면 다수의 사용자에게 실질적인 피해가 발생 하였을 것입니다. 실제 거래의 피해 및 금전적인 피해가 발생 하였을 것입니다. 개인에게 직접 영향을 미치는 것이죠.

 

국내의 금융권 보안 강화 방안과 해외의 보안 강화 방안

 

<개념적인 그림입니다. 현재 전체적으로 봤을때 주요 관점이 다르다는 의미입니다.>

 

- 국내는 공인인증서를 사용하여 추가적인 입력 장치가 필요하고 비록 단종된 ActiveX 기술이기는 하나 다양한 보안 기능을 활용 하고 있습니다. 따라서 금융기관 공격이 매우 어려우며 사용자 정보의 유출이나 금전적인 피해가 상당히 적다고 할 수 있습니다. 가장 기본적인 원칙은 사용자의 PC 수준을 우선 불안전한 상태라고 보고 이후의 모든 단계를 강제적으로 진행 하는 개념입니다.

 

- 해외는 기본원칙이 다릅니다. 사용자의 PC 수준을 우선 신뢰하고 있으며 신뢰된 내용으로 부터 들어온 거래에 대해 비정상적인 행위를 찾아내는데 중점을 두고 있습니다. Fraud  검출과 관련된 기능과 인력에 중점을 두고 있습니다. 그리고 인터넷 상에서 피싱된 사이트에 대한 정보를 찾고 해당 정보에 대한 전체적인 차단과 대응에 중점을 두고 있습니다.

 

두 원칙이 다르다 보니 발달된 부분도 다릅니다. 국내는 PC보안 및 보안요소 기술, 공인인증 관련 기술이 발전 하였고 해외는 피싱관련된 협력 모델 , Fraud 검출 기술이 장점입니다.

 

어느 부분이 바람직 할까요? 저 개인적으로는 향후의 위협을 고려하여 보면 국내의 방향이 맞다고 봅니다. 안정성 측면에서 바람직한 접근이라 할 수 있습니다. 인터넷은 통제가 가능한 부분이 아니며 그동안 여러번 이야기 하였지만 위험요소를 걸러내어 안전해 질 수 있는 부분이 아니며 Protection의 개념으로 접근을 하여야만 합니다. 

 

해외는 앞으로 많은 위협에 직면하게 될 것입니다.  공격 기술은 보안 기술과의 격차를 계속 벌리고 있는 상황이라 향후 많은 "소 잃고 외양간 고치기"를 해야 할텐데.. 외양간이 어디인지를 잘 살펴야 할 것입니다.

 

격리와 Protection 관점의 변화는 매우 어려운데 해외는 개념 및 발상의 전환상 상당 시일이 소요될 것으로 보이며 향후 난관이 예상됩니다.

vista도 protection 관점에서 진화된 내용이기는 하나 침입 가능 경로중의 일부만을 차단하고 있으며 또한 취약성 분석의 전문화와 대중화로 인해 문제가 지속 될 것입니다. 물론 zeroday 및 MS의 관련 Application 문제도 상당히 많고 오랫동안 계속될 문제입니다.

 

* 개인의 의견입니다.