|
|
|
|
|
|
지금까지 이 블로그에서는 안티 바이러스 또는 안티 스파이웨어에 대한 글과 리뷰를 주로 게시했습니다.
즉, 공격을 받는 피해자 입장에서 주로 방어에 관련한 입장을 기술했는데, 이제부터는 그 반대로 공격을 가하는 가해자 입장에서 생각해 볼 수 있는 글들을 게시하려 합니다.
하지만, 궁극의 목적은 예전과 다르지 않습니다. 어디까지나 개인 사용자를 전제로 하여, 시스템을 보호할 수 있는 정보를 전달하고자 하는 입장을 견지할 것이므로, 언뜻 떠올리기 쉬운 해킹 가이드나 팁에 관한 글은 아닙니다.
적을 알고 나를 알면 100전 100승이라고 했습니다.
앞으로 며칠간은 바이러스, 스파이웨어 등의 멀웨어, 또는 해커들이 어떤 식으로 내 컴퓨터에 칩입을 소개하는가에 대한 사례에 대해 살펴보고, 그에 걸맞는 적절한 대응을 할 수 있는 계기가 되기를 바랍니다.
참고 - 이 연재물의 팁과 예시에는 코모도 방화벽의 HIPS 가 등장합니다. 카스퍼스키 6.0 이후 버전을 사용하는 유저의 경우 이에 준하여 설정할 수 있습니다. - 이 연재물에 언급되는 내용들은 이 블로그에서 리뷰 또는 소개되는 소프트웨어, 백신에도 테스트 되는 것들입니다. Malware Test
호스트 파일을 통한 해킹
호스트 파일에 대해 이해하려면 우선 네트워크의 DNS(Domain Name Service : 도메인 네임 서비스)에 대해 알아야 합니다.
예를 들어, 국민은행의 원래 URL은 211.181.199.211로 구성된 IP입니다. 따라서 IE, 파이어폭스, 오페라 등의 브라우저 주소표시줄에 이 숫자를 기입하면 국민은행 홈페이지로 이동합니다.
그러나 IP는 숫자로만 구성되어 있으므로 일반 사용자가 일일이 외우는 것은 불편하거나 불가합니다.
이 숫자를 의미 있는 영어 단어나 숫자로 연결하여 방문자들이 좀 더 편리하게 느낄 수 있도록 해 주는 것이 DNS = 도메인 네임 서비스이며, 이렇게 연결된 kbstar.com이 바로 "도메인"입니다.
호스트 파일은 이 DNS와 관련된 것으로, 기본적으로는 127.0.0.1 localhost 외 아무 것도 기입되어 있지 말아야 합니다.
이 때, 127.0.0.1은 Loopback IP라고 부르고, localhost는 내 컴퓨터의 도메인을 의미합니다.
다시 말하면, 127.0.0.1은 내 컴퓨터(localhost)로 돌아오는(loopbak) 도메인(IP)이라고 생각하면 됩니다.
만약 해커가 이곳을 수정하면 큰 문제가 발생합니다.
여러분이 kbstar.com이라는 도메인을 기록하고 엔터를 치면, 컴퓨터는 앞서 언급한 그대로 211.181.199.211라는 IP를 찾아 나서서 국민은행의 서버로 연결시켜 줘야 합니다. 그런데 엉뚱한 IP로 연결된다면 어떻게 될까요? 만약 123.456.789.001이라는 IP에 연결되고, 이 IP가 해커가 만들어둔 서버의 것이라면 큰 문제가 발생합니다. 유저는 kbstar.com이라는 도메인 (또는 그것을 기반으로 한 즐겨찾기)을 사용했음에도 엉뚱한 사이트로 연결되기 때문이죠.
이해를 돕기 위해 간단한 실험을 해 보겠습니다.
메모장을 열어서 C:\WINDOWS\system32\drivers\etc 폴더 안의 hosts라는 파일을 불러온 후 그림처럼 222.122.84.200 kbstar.com 이라고 기록하여 저장합니다. hosts.txt 파일로 저장되지 않도록 반드시 "다른 이름으로 저장"을 이용하여 "모든 파일"로 파일 포맷을 지정한 후, 확장자가 없는 "hosts"로 저장해야 합니다.
이제 IE를 실행시켜서 주소 표시줄에 kbstar.com이라는 국민은행의 도메인을 기입하고 엔터키를 눌러 보세요.
분명히 kbstar.com이라는 도메인을 이용했는데 네이버가 뜨는 것을 알 수 있습니다. 황당하죠? 왜냐하면 222.122.84.200은 네이버의 IP이기 때문입니다. 즉, 222.122.84.200 kbstar.com 의미는
kbstar.com이라는 도메인을 쳤을 때 222.122.84.200이라는 IP로 연결해라. 라는 뜻입니다.
처음, 필자는 호스트 파일 안에는 127.0.0.1 localhost 외 아무 것도 기입되어 있지 말아야 한 이유가 여기에 있습니다. 이 부분은 특별한 이유 때문에 사용자가 도메인과 IP 연결을 일일이 지정해 줘야 할 경우를 대비한 것으로, 평상시에는 사용할 이유가 없습니다.
따라서 코모도 방화벽 3.0에서는 아래와 같이 기본적으로 호스트 파일을 모니터링하는 HIPS 설정이 추가되어 있습니다.
만약 해커, 또는 악성 프로그램이 내 시스템에 침투하여 호스트 파일을 수정하려 하면 즉각 경고창을 알려 줍니다.
▲ 참고 : 각 운영체제 별 호스트 파일이 위치한 경로
호스트 파일 응용
호스트 파일을 응용하면 간단하게 사이트 차단을 할 수도 있습니다.
짜루짜루 진짜루~ 네이버가 싫어서, 우리 가족들이 네이버에 방문하는 것을 차단하고 싶다면 아래와 같이 기입해 보세요.
이것을 번역하면
naver.com 이란 도메인을 치면, 내 PC로 다시 돌아와라(Loopbak : 127.0.0.1) 입니다. 즉, IE, 파이어폭스, 오페라를 막론하고 어떤 브라우저에서건 naver.com을 치면 네이버 서버로 가는게 아니라 다시 돌아서 내 PC로 옵니다. 이러한 원리 덕분에 특정 사이트를 차단하는 효과를 얻는 것입니다.
현명한 부모라면 아래와 같이 자녀들이 청와대와 같은 유해 사이트에 출입하는 것을 막고, 차라리 cams.com과 같은 좋은 사이트로 이동하게 해 줄 수도 있습니다. :-P (운만 좋으면 남녀불문 생쑈를... ㅡ,.ㅡ)
|
이 블로그의 모든 글 및 리뷰에 대한 저작권은 여름하늘에게 있습니다.
출처를 밝힌 여부와 상관 없이 글, 또는 리뷰의 내용을 다른 사이트에 올리는 것을 금합니다. 좋은 글이라 여겨지면 링크나 트랙백을 이용해 주세요.
참고 : 저작권 위반에 대한 법적 대응
Copyrights 2008 무단 전재/스크랩 금지. Hacking,
host,
host file,
malware,
Security,
virus,
멀웨어,
바이러스,
백신,
보안,
해킹,
호스트,
호스트 파일 |
|
|
|
|
|
| 이 글의 트랙백 주소 : http://skysummer.com/trackback/510 |
|
|
|
|
CATEGORY : 
Categories
Recent Entries
Tag
Recent Comments
Recent Trackback
