고객만족센터

DNS 스푸핑과 피싱을 결합한 공격...DNS 공격 주의

[보안뉴스 오병민] 최근 국내 유명 커뮤니티 사이트인 ‘뽐뿌(ppomppu.co.kr)’와
인터넷신문 ‘투데이코리아(todaykorea.co.kr)’가 해킹 공격을 받아 많은 사용자들의 개인정보가 유출된 것으로 확인됐다.
이 두 사이트가 해킹당한 이유는 DNS 호스팅 업체의 ID와 패스워드가 노출됐기 때문으로 파악되고 있다.

두 사이트는 1월 9일부터 악성공격자에 의해 해킹 공격을 받았다. 공격자들은 사이트 자체에 피해를 입히지는 않았지만
용자들에게 피해를 입혔다. 해킹당한 기간 동안 공격자들은 로그인으로 접속한 사용자들의 ID와 패스워드를 빼내간 것으로 파악되고 있다.

전문가들은 이번 공격에 대해 도메인을 IP 주소로 변환해주는 DNS(Dmain Name System)를 공격해 다른 사이트로 연결시키는 ‘DNS 스푸핑(DNS spoofing)’과 가짜페이지를 만들어 사용자를 속이는 피싱(Phishing)을 결합한 공격이라고 설명한다.

즉 공격자는 미리 해당 사이트의 도메인을 바꾸기 위해 DNS 관리업체의 ID와 패스워드를 탈취해 자신들이 만든 DNS로 이동하게 하고, 이 DNS는 다시 피싱(가짜)페이지로 연결하는 방식이다.

이 과정에서 다른 피해 사이트가 또 드러나게 된다. 공격자가 이용한 DNS 역시 특정 사이트의 서버를 해킹해 만든 것이기 때문이다.
뽐뿌와 투데이코리아의 DNS 스푸핑 공격에 이용된 DNS는 데브피아(www.devpia.com)라는 개발자 커뮤니티 사이트였다.

데브피아의 관계자는 “최근 홈페이지 서버에서 웹쉘(Webshell)이 삽입된 것을 확인하고 한국인터넷진흥원의
조언을 바탕으로 보안 점검을 시작했다”면서 “앞으로는 보안에 더욱 관심을 가지고 지속적으로 보안점검을 실시할 것”이라고 밝혔다.

웹쉘은 공격자가 원격에서 웹서버에 명령을 수행할 수 있도록 만든 악성코드이다. 데브피아에 삽입된 웹쉘은 뽐뿌나 투데이코리아 접속시 DNS를 변경시켜 피싱사이트로 연결하는 기능을 가지고 있었던 것으로 전해지고 있다.



[기사전문보기]