네이버·다음 화면에 뜬 '보안관련 인증 절차' 요구
어느 날 갑자기 아래처럼 네이버와 다음의 첫 화면에서 "보안관련 인증절차를 진행하고 있습니다."라며 인증을 요구하는 창이 떠서 당황했던 적이 있다.
금융감독원을 내세운 것이 너무 그럴싸해서 깜빡 속을 뻔했지만, 위 화면은 네이버와 다음를 흉내낸 가짜이다. DNS 정보를 바꾸어서 다른 주소로 이어지게 하여 개인 정보를 훔치는 이른바 파밍(pharming)이라는 사기 수법이다. 아래쪽에 나오는 은행들을 딸깍하면, 매우 비슷하게 꾸민 가짜 은행 그물집(사이트)으로 연결된다.
금융 기관들은 HTTP보다 보안성이 높은 HTTPS로 쓰므로, 은행들의 그물집에 들어가면 http://가 아니라 https://로 시작하는 웹 주소로 연결된다. IE에서는 HTTPS로 보안 연결되면 주소창이 푸르게 바뀌곤 한다. 위에 보이는 그물집은 HTTP로 연결된 가짜여서 주소창의 색이 푸르게 바뀌지 않은 걸 볼 수 있다
이렇게 가짜 네이버/다음/은행 그물집을 애써 만들어서 사기꾼이 노리는 것은 공인인증서와 비밀번호이다. 만약 가짜 은행 그물집에서 공인인증서로 인증한다면, 공인인증서 파일과 공인인증서 비밀번호가 사기꾼에게 건네진다. 그러면 사기꾼은 그 공인인증서를 통하여 인증서의 주인인 양 행세할 수 있다.주1 만약 모르고 가짜 그물집에서 공인인증서로 인증했다면, 인증 기관에서 그 인증서를 빨리 폐기해야 조금이라도 피해를 막을 수 있다.
제어판의 '네트워크 및 공유 센터'로 들어가서 인터넷이 연결되는 어댑터(대체로 '로컬 영역 연결')의 설정을 열어 보면, 위 화면처럼 DNS 서버는 내부 주소(127.0.0.1)로 바뀌어 있는 것을 볼 수 있다. 이를 자동으로 DNS 서버 주소 받기로 바꾸면 진짜 그물집으로 들어갈 수 있다.
가짜 그물집이 떴다면, DNS 설정를 바꾸는 풀그림이 이미 메모리에 떠 있다고 보면 맞다. 악성 풀그림들은 메모리에 떠 있으면, 쓰는 사람이 DNS 설정을 본래대로 되돌려 놓아도 가짜 그물집에 연결되게 DNS 설정을 다시 바뀐다. 먼저 작업관리자로 들어가서 프로세스 끝내기로 문제를 일으키는 실행 파일(여기서는 inst.exe)을 찾아서 끝낸다.
레지스트리에 등록된 시작 프로그램 목록에서도 빼 준다. 위 화면은 윈도우 7 64비트 판에서 본 것이데, 윈도우 판에 따라 값이 있는 레지스트리 경로가 조금 다를 수 있다. syotom 항목을 통째로 지우거나 'rem'을 덧붙여서 'C:\inst.exe'가 실행되지 않게 처리해 준다. 이렇게 하면 윈도우를 다시 시작할 때 가짜 그물집으로 보내는 DNS 설정값이 다시 적용되는 것을 막을 수 있다.
덧글을 달아 주세요
신세기 2015/02/17 23:59 고유주소 고치기 답하기
다행히 잘 넘어가셨군요, 정말 다행입니다. 요즘 사기 수법이 점점 다양해져서 큰일이군요. 피할 수 있는 방법을 알려주셔서 감사합니다.
팥알 2015/02/18 00:23 고유주소 고치기 답하기
하마터면 속아 넘어갈 뻔해서 섬뜩했습니다.
잘 쓰던 셈틀이 갑자기 맛이 가는 바람에 백신을 깔지 않은 곳에서 임시로 작업한 것이 화근이었습니다.
님사랑 2015/03/18 15:31 고유주소 고치기 답하기
보안인증화면이떠서 나름 고쳐볼려고 하다가 찾아오게되었는데요
맨위작업까지는했는데 윈도우작업관리자에서 inst.exe 라는 항목이 없는데요.
어떤분은 자동으로 서버받기까지만 했는데 고쳐졌다고하는데 제 컴퓨터는 안되네요. 우찌 해야할까요???
팥알 2015/03/18 16:04 고유주소 고치기 답하기
파일 이름이 다를 수 있고, 다행히 DNS를 고정하는 프로그램이 실행되지 않았거나 시작 프로그램으로 등록되지 않아서 보이지 않을 수도 있습니다. 윈도를 다시 띄워도 DNS 서버 설정에 이상이 없고 보안 인증을 요구하는 화면이 뜨지 않는다면 고쳐진 거라고 볼 수 있습니다.
김명우 2015/04/18 22:24 고유주소 고치기 답하기
파일관리자에도없궁 ㅠㅠㅠ 레지스티리관리자에도없어요 금융사기만 계속뜨고 도와주세여 ㅠㅠㅠㅠㅠ
팥알 2015/04/19 10:47 고유주소 고치기 답하기
DNS 설정을 바꾸는 프로그램을 찾아서 끄고 없애야 하는데, 그걸 찾아 내는 것이 먼저입니다. 무엇인지 모를 때는 하나하나 점검해 보아야 해서 쉽지 않을 수 있습니다.
변종 악성 코드는 프로그램 이름이나 파일 이름이 다를 수 있고, 프로그램을 띄우는 방법이 다를 수 있습니다. 작업 관리자, 시작 메뉴와 레지스트리의 시작 프로그램 목록에서 수상한 프로그램이 실행되고 있는지 확인해 보셔야 할 듯합니다. msconfig를 띄워서 시작되는 프로그램을 제한해 볼 수도 있고, 정말 지우기 어려운 프로그램은 안전 모드로 들어가서 지울 수도 있습니다.
김명우 2015/04/20 18:48 고유주소 고치기 답하기
아어려워 ..ㅠㅠ
팥알 2015/04/21 03:58 고유주소 고치기 답하기
백신을 비롯한 보안 프로그램이 잘 막고 잘 치료해 주면 좋지만, 그러지 못했을 때 악성 코드를 손수 없애려면 많이 번거로울 수 있습니다. 위에 설명한 경우는 쉽게 해결한 예인데, 퍼뜨리거나 작동하는 방식이 바뀐 변종이라면 파일 이름이나 실행 방법이 다를 수 있습니다. 전문가도 없애기 어려울 만큼 악랄하게 바뀐 종류가 아니라면, 문제가 생긴 PC 안에서 잘 살피면 답이 나올 수 있을 겁니다.
문제를 일으키는 원인(DNS 바꾸기)과 그 원인을 일으키는 프로그램(위에서는 inst.exe)을 찾고, 실행되고 있던 그 프로그램을 멈추고, 그 프로그램이 다시 실행되지 않게 막는 것이 큰 줄거리입니다. 원인을 바로 찾을 수 없다면, 끈기 있게 모르는 프로그램/서비스를 하나씩 멈추어 가며 거듭 확인해 볼 필요가 있습니다. 만약에 프로그램을 멈추어도 자꾸 다시 실행되거나 자체 보호 기능이 있는 악성 코드에 걸렸다면, 안전 모드로 들어가서 악성 프로그램을 지우는 것과 같은 번거로운 절차를 더 거쳐야 할 수 있습니다.
김호빈 2015/05/24 00:35 고유주소 고치기 답하기
알약이 아닌 v3로도 치료를 해도 될까요?
팥알 2015/05/24 08:14 고유주소 고치기 답하기
제가 걸렸을 때는 둘 다 치료 효과를 못 보았습니다.
지금은 어떤지 모르겠습니다.
yol 2015/07/28 09:19 고유주소 고치기 답하기
호스트,DNS 위변조 소프르웨어는 외산 백신에서는
거의 잡힐 겁니다.
아비라 써보셔요.
이호준 2015/11/05 00:06 고유주소 고치기 답하기
그거 다 쳣어요.....어떻하죠?
팥알 2015/11/05 00:49 고유주소 고치기 답하기
어떤 걸 쳤다는 말씀인가요?
박경옥 2015/11/13 20:13 고유주소 고치기 답하기
보안카드 다 쳐버렸나봐요.
이런~
은행가서 인증서 폐기하세요.
보안카드도 바꾸고.
홍성국 2015/11/24 16:41 고유주소 고치기 답하기
보안카드는 안치고 계좌번호랑 비밀번호까지만 쳤는데 바꿔야할까요 ㅠ
팥알 2015/11/25 00:09 고유주소 고치기 답하기
계좌 비밀번호는 꼭 바꾸셔야 할 것 같습니다.
계좌번호도 알려지지 않으면 좋지만, 공인인증서나 다른 신상 정보 없이 계좌 번호만 알아서는 어찌하기가 어려울 겁니다.
홍길동남 2015/12/16 21:24 고유주소 고치기 답하기
윈도우 7 64비트 씁니다
오늘 컴퓨터 껏다가, 저녁에 갑자기 켜니까..네이버와 다음에 똑같은화면이 뜨던데요
익스플로러는 10을 씁니다
정확히, 어디 메뉴에 들어가서, 뭘 수정해야 하는지, 다시 좀 가르쳐 주시기 바랍니다
위대로 따라해봐도 없습니다. 안 됩니다
작업관리자에, inst.,exe 프로세스가 전혀 실행되어 잇지 않구요. 그런데, 공인인증서 창은
계속 떠 잇어서, 어떤 것도 검색도,입력도 안 됩니다.
dns 변경은, 할 줄몰라서 안 했구요. syotom 폴더도 어디잇는지 못 찾아서 못 지웟어요
팥알 2015/12/16 21:49 고유주소 고치기 답하기
악성 코드가 쓰는 수법(DNS 설정 바꿈)을 막아야 보안 인증을 요구하는 창을 없앨 수 있습니다. 변종은 파일 이름나 경로가 다를 수 있고, 감염시키는 방법이 다를 수도 있습니다. 그대로 따라 해서 안 되는 경우에는 위에 설명한 원리를 이해하여 악성 코드를 퍼뜨리는 파일을 뒤져 찾거나 치료 프로그램을 쓰는 수밖에 없습니다.
위의 경우에는 램에 상주하여 DNS 설정을 바꾸는 프로그램이 작업 관리자에 보여서 손쉽게 찾을 수 있었습니다. 그렇지 않다면 자동으로 뜨는 시작 프로그램부터 모두 뒤져야 했을 수 있습니다.
어떤 경우에 걸리셨는지는 모르겠지만, 다른 수법을 쓴 변종이라면 프로그램 실체가 잘 보이지 않게 했을 가능성도 생각할 수 있습니다.