파밍 공격으로부터 자신을 보호하는 방법
파밍 공격: 당신의 온라인 자산을 위협하는 보이지 않는 적
파밍 공격은 사용자 스스로 ‘어리석은 실수’를 저지르지 않아도 사용자를 속이는 고도의 기법입니다. 어떻게 작동하는지, 그리고 어떻게 자신을 보호할 수 있는지 알아보겠습니다.
상상해 보세요. 합법적인 웹 주소를 통해 인터넷 뱅킹에 접속했는데, 얼마 지나지 않아 당신의 예금이 사라졌다면 어떨까요? 이것이 바로 파밍 공격의 모습 중 하나입니다.
파밍이라는 용어는 피싱 공격과 농업에서 사용되는 파밍(farming)에서 유래되었습니다.
피싱은 의심스러운 링크를 클릭해야 하며, 이로 인해 악성코드가 다운로드되어 금전적 손실을 초래합니다. 또한 '포경 피싱'이라는 특별한 사기 유형도 있습니다. 예를 들어, 'CEO'를 사칭하여 '긴급'하게 은행 송금을 요구하는 이메일이 그 예입니다.
요약하자면, 피싱은 사용자의 적극적인 참여를 요구하지만, 파밍 공격은 대부분의 경우 그렇지 않습니다.
파밍 공격이란 무엇일까요?
우리는 도메인 이름(예: example.com)에 익숙하지만, 컴퓨터는 IP 주소(예: 192.168.1.1)를 이해합니다.
웹 주소(도메인 이름)를 입력하면, 해당 정보는 DNS 서버(인터넷의 전화번호부와 같은 역할)로 전달되어 일치하는 IP 주소를 찾습니다.
즉, 도메인 이름은 실제 웹사이트와 직접적인 관련이 없습니다.
예를 들어, DNS 서버가 당신이 입력한 '정확한' URL과 연결된 IP 주소가 아닌, 가짜 웹사이트를 호스팅하는 다른 IP 주소와 연결시킨다면, 당신이 보게 되는 것은 가짜 웹사이트입니다.
이후 사용자는 카드 번호, 주민등록번호, 로그인 자격 증명 등의 개인 정보를 가짜 웹사이트에 쉽게 제공하고, 이를 합법적인 웹사이트라고 믿게 됩니다.
이것이 바로 파밍 공격을 매우 위험하게 만드는 이유입니다. 공격은 매우 정교하게 진행되고 은밀하게 작동하여, 피해자는 자신의 계좌에서 돈이 빠져나가거나 개인 정보가 다크웹에서 거래되는 것을 알기 전까지는 아무것도 인지하지 못합니다.
이제 파밍 공격이 어떻게 이루어지는지 자세히 살펴보겠습니다.
파밍 공격은 어떻게 작동할까요?
파밍 공격은 사용자 수준과 서버 수준, 이렇게 두 가지 수준에서 발생합니다.
#1. 사용자 수준 파밍
이는 피싱 공격과 유사하게, 악성코드가 포함된 의심스러운 링크를 클릭함으로써 시작됩니다. 그 결과, 사용자의 컴퓨터에 있는 호스트 파일(로컬 DNS 레코드)이 변조되어, 사용자는 원래 웹사이트와 유사한 악성 웹사이트로 리디렉션됩니다.
호스트 파일은 로컬에서 관리되는 DNS 레코드를 저장하는 표준 텍스트 파일로, 빠른 연결을 위해 사용됩니다. 일반적으로 웹마스터는 실제 DNS 레코드를 수정하기 전에 웹사이트를 테스트하기 위해 이 파일을 사용합니다.
그러나 악성코드는 사용자의 컴퓨터에 있는 호스트 파일에 가짜 항목을 쓸 수 있습니다. 따라서 올바른 웹사이트 주소를 입력해도 사용자는 가짜 웹사이트에 접속하게 됩니다.
#2. 서버 수준 파밍
한 사용자에게 일어나는 일이 전체 서버에도 일어날 수 있습니다. 이것을 DNS 포이즈닝 또는 DNS 스푸핑 또는 DNS 하이재킹이라고 합니다. 이는 서버 수준에서 발생하므로, 피해자는 수백 명에서 수천 명에 이를 수 있습니다.
DNS 서버를 조작하는 것은 매우 어렵지만, 성공한다면 사이버 범죄자들이 얻는 이득은 매우 클 것입니다.
서버 수준 파밍은 DNS 서버를 물리적으로 하이재킹하거나 MITM(Man-In-The-Middle) 공격을 통해 이루어집니다. 후자는 사용자-DNS 서버 사이 또는 DNS 서버-신뢰할 수 있는 DNS 이름 서버 사이에서 발생하는 소프트웨어 조작을 의미합니다.
또한 해커는 로컬 DNS 포지셔닝이라고 하는 방식으로 WiFi 라우터의 DNS 설정을 변경할 수도 있습니다.
실제 파밍 공격 사례
사용자 수준의 파밍 공격은 은밀하게 이루어지고 보고되는 경우가 드뭅니다. 보고된다고 해도 뉴스에 보도되는 경우는 거의 없습니다.
또한 서버 수준 공격은 매우 정교하여, 사이버 범죄자가 큰 규모의 금전적 이득을 취하지 않는 한 탐지하기 어렵습니다.
실제 사례를 통해 파밍 공격이 어떻게 작동하는지 살펴보겠습니다.
#1. 커브 파이낸스(Curve Finance)
커브 파이낸스는 2022년 8월 9일, DNS 포이즈닝 공격을 받은 암호화폐 거래 플랫폼입니다.
@iwantmyname에서 간략한 보고서를 받았습니다. 간단히 말해서: DNS 캐시 포이즈닝이지 네임서버 손상이 아닙니다.
이러한 공격으로부터 100% 안전한 사람은 없습니다. DNS 대신 ENS로 이동을 시작할 것을 강력하게 제안합니다.
— 커브 파이낸스(@CurveFinance) 2022년 8월 10일
이 공격은 Curve의 DNS 제공업체인 iwantmyname이 해킹되어, 사용자들을 가짜 웹사이트로 유도하여 55만 달러 이상의 손실을 초래했습니다.
#2. 마이이더월렛(MyEtherWallet)
2018년 4월 24일은 일부 MyEtherWallet 사용자들에게는 암울한 날이었습니다. MyEtherWallet은 강력한 보안 프로토콜을 갖춘 무료 오픈 소스 이더리움 지갑입니다.
그럼에도 불구하고, 이 사건으로 인해 약 1,700만 달러가 도난당하는 피해가 발생했습니다.
기술적으로, BGP 하이재킹은 MyEtherWallet에서 사용되는 Amazon Route 53 DNS 서비스에서 시작되었고, 일부 사용자를 피싱 웹사이트로 리디렉션했습니다. 공격자들은 사용자가 로그인 정보를 입력하도록 유도하여 암호화폐 지갑에 접근해 돈을 빼냈습니다.
하지만 사용자들이 저지른 실수는 브라우저의 SSL 경고를 무시한 것이었습니다.
마이이더월렛의 공식 성명에 따르면, 사기 피해에 대한 주의가 필요합니다.
#3. 주요 은행들
2007년에는 약 50개 은행의 사용자들을 대상으로 파밍 공격이 발생하여 큰 피해를 입었습니다.
이 고전적인 DNS 손상은 사용자가 공식 URL을 입력해도 악성 웹사이트로 사용자를 리디렉션했습니다.
이 공격은 피해자가 Windows 취약점(현재 패치됨)을 이용하여 악성 웹사이트에서 트로이 목마를 다운로드하면서 시작되었습니다.
이후 바이러스는 사용자에게 백신, 방화벽 등을 끄도록 요청했습니다.
그 후 사용자들은 미국, 유럽, 아시아 태평양 전역의 주요 금융 기관의 가짜 웹사이트로 이동되었습니다. 더 많은 사례들이 있지만, 대부분 비슷한 방식으로 작동합니다.
파밍 공격의 징후
파밍 공격은 공격자에게 감염된 온라인 계정에 대한 모든 권한을 부여합니다. 이는 페이스북 프로필, 온라인 뱅킹 계정 등이 될 수 있습니다.
피해자인 경우, 설명할 수 없는 활동이 나타날 수 있습니다. 게시물, 거래 또는 프로필 사진이 변경될 수 있습니다.
만약 당신이 기억하지 못하는 활동이 있다면, 즉시 조치를 취해야 합니다.
파밍 공격으로부터 자신을 보호하는 방법
공격 유형(사용자 또는 서버 수준)에 따라 몇 가지 보호 방법이 있습니다. 서버 수준 구현은 이 글의 범위를 벗어나므로, 최종 사용자로서 할 수 있는 일에 집중하겠습니다.
#1. 프리미엄 백신 프로그램 사용
좋은 백신 프로그램은 중요한 보안 장치입니다. 이를 통해 악성 링크, 악성 다운로드, 가짜 웹사이트로부터 보호받을 수 있습니다. PC용 무료 백신도 있지만, 유료 백신이 더 나은 성능을 제공하는 경우가 많습니다.
#2. 강력한 라우터 암호 설정
WiFi 라우터는 미니 DNS 서버 역할도 할 수 있습니다. 따라서 라우터의 보안은 매우 중요하며, 제조사에서 제공하는 기본 암호를 변경하는 것부터 시작해야 합니다.
#3. 평판이 좋은 ISP 선택
대부분의 경우, 인터넷 서비스 제공업체(ISP)가 DNS 서버 역할도 수행합니다. 일반적으로 ISP의 DNS는 Google Public DNS와 같은 무료 공용 DNS 서비스보다 속도 면에서 약간의 이점을 제공합니다. 하지만 속도뿐만 아니라 전반적인 보안을 고려하여 가능한 최고의 ISP를 선택하는 것이 중요합니다.
#4. 사용자 지정 DNS 서버 사용
다른 DNS 서버로 전환하는 것은 어렵거나 드문 일이 아닙니다. OpenDNS, Cloudflare, Google 등에서 무료 공용 DNS를 사용할 수 있습니다. 하지만 주의해야 할 점은 DNS 제공업체가 당신의 웹 활동을 볼 수 있다는 것입니다. 따라서 누구에게 웹 활동에 대한 접근 권한을 부여하는지 주의해야 합니다.
#5. 개인 DNS를 사용하는 VPN
VPN을 사용하면 사용자 지정 DNS를 포함한 여러 보안 계층이 추가됩니다. 이는 사이버 범죄자뿐 아니라 ISP나 정부의 감시로부터 당신을 보호해 줍니다. 그러나 최고의 보안을 위해서는 VPN에 암호화된 DNS 서버가 있는지 확인해야 합니다.
#6. 좋은 사이버 위생 유지
가짜 링크나 과도하게 좋은 광고를 클릭하는 것은 사기 피해를 입는 주요 원인 중 하나입니다. 백신 프로그램은 사용자에게 경고를 보내는 역할을 하지만, 어떤 사이버 보안 도구도 100% 성공률을 보장하지 않습니다. 따라서 자신을 보호하는 책임은 당신에게 있습니다.
예를 들어, 의심스러운 링크를 검색 엔진에 붙여 넣어 출처를 확인해야 합니다. 또한 웹사이트를 신뢰하기 전에 HTTPS(URL 표시줄의 자물쇠 표시)를 확인해야 합니다.
또한 정기적으로 DNS를 플러시하는 것도 도움이 됩니다.
주의!
파밍 공격은 오래되었지만, 작동 방식이 매우 미묘하여 정확히 짚어내기 어렵습니다. 이러한 공격의 근본 원인은 여전히 해결되지 않은 DNS 불안정성에 있습니다.
결과적으로, 파밍 공격을 완전히 피하는 것은 당신에게 달려있지 않을 수 있습니다. 그러나 위에 나열된 보호 조치들은, 특히 ProtonVPN과 같이 암호화된 DNS가 포함된 VPN을 사용하면, 도움이 될 것입니다.
파밍 공격은 DNS를 기반으로 하지만, 사기 공격은 블루투스를 기반으로 할 수도 있다는 것을 알고 계셨나요? 블루스나핑 101을 통해 블루스나핑이 어떻게 작동하는지, 그리고 자신을 보호하는 방법이 있는지 알아보세요.