최신 보안 동향

[대비]DNS Changer 감염시 07월 09일 이후 인터넷 전면 중단사태

TACHYON & ISARC 2012. 6. 21. 10:48
1. 개요


일명 "DNS Changer" 라는 이름을 가진 악성파일은 약 2007년 경부터 가짜 비디오 코덱처럼 위장하여 유포되었고, 전 세계에 약 420만대 이상의 컴퓨터를 감염시킨 것으로 알려져 있다. 이 악성파일에 감염되면 사용자의 1/2차 DNS(Domain Name System) 서비스를 임의로 변경하여, 감염된 사용자가 특정 웹 사이트로 접속을 시도할 때 악성파일 제작자들에 의해서 조작된 상업사이트로 강제 연결시키거나, 허위 보안제품(Fake Anti-Virus) 설치 유도, 개인정보 탈취 등을 통해서 수십에서 수백억원에 상당하는 불법 수익금을 부당하게 편취한 것으로 알려져 있다.

이에 미국 연방수사국(FBI)은 피의자 에스토니아 IT기업 Rove Digital 을 특정하였고, 그들을 검거하기 위해서 에스토니아 경찰 등이 참여한 이른바 Task Force 작전명인 Operation Ghost Click 을 결성하여 2011년 11월 경 에스토니아 국적의 피의자들을 검거하였다.

그후 뉴욕 및 시카고의 IDC를 압수수색하여 악의적 DNS 서버를 폐쇄하고 구속영장을 집행하였다. 2012년 02월 경 에스토니아 경찰이 피의자 6명 모두의 신병을 미국으로 범죄인 인도결정을 한 것으로 알려져 있고, 뉴욕 남부지검에서 기소하였다.

Operation Ghost Click
http://www.fbi.gov/news/stories/2011/november/malware_110911


● DNS Changer Working Group : http://www.dcwg.org/
● DNS Changer Check-Up : http://www.dns-ok.us/



※ DNS(Domain Name System) 란?
인터넷 웹 브라우저 등에서 사용하는 URL주소를 기억하기 어려운 IP주소 대신에 문자(예:www.nprotect.com) 등으로 사람들이 쉽게 기억하고 편리하게 사용할 수 있도록 변환 및 해석해 주는 네트워크 서비스이다. 


2. 본론

미국 연방수사국(FBI)은 피의자들이 운영하던 악의적 DNS 서버를 압수하였다. 그에 따라 기존에 DNS Changer 악성파일에 감염된 전 세계 약 420만대 이상의 컴퓨터가 해당 DNS 서버로의 정상적인 접속이 성공하지 못해 인터넷 접속 불능사태 피해가 예상되었다. 이에 맨하탄 법원에서 영장을 발부받아 임시 DNS 서버로 대체 운영 중이었고, 2012년 03월 임시 DNS 서버를 강제로 폐쇄할 계획이었으나, 아직도 감염된 컴퓨터가 많이 존재할 것으로 추산되어 서버 차단 계획을 2012년 07월까지 연장 운영을 하고 있는 상태이다.

그러나 영장시한 일정에 따라 해당 DNS 서버의 운영이 2012년 07월 09일 만료되기 때문에 "DNS Changer 악성파일에 감염된 사용자의 경우에 한하여 2012년 07월 09일 이후부터 도메인 주소를 통한 정상적인 인터넷 접속이 전면 차단될 위험"에 놓이게 되는 것이다.

▶ 악성파일(DNS Changer) 감염 컴퓨터를 위한 임시 DNS 서버 영장 유효기간 07월 09일 임박


3. 사전 감염확인 및 조치 안내

한국인터넷진흥원(KISA) 에서는 DNS Changer 악성파일에 감염된 국내 이용자들의 사전 감염확인 및 조치방법을 보호나라 홈페이지를 통해서 안내하고 있다.

[보호나라]
DNS 체인저 감염확인 및 조치안내
http://www.boho.or.kr/kor/notice/noticeView.jsp?p_bulletin_writing_sequence=960

더불어 해당 악성파일의 치료용 전용백신도 제공 중이며, DNS Changer 악성파일은 변종이 매우 다양하게 존재하므로, 최신 버전의 nProtect AVS 3.0 (http://avs.nprotect.com/) 등을 이용해서 수시로 검사해 보는 것도 좋은 방법이다.

Trojan/DNSChanger(DNS체인저) 치료용 전용백신
http://download.boho.or.kr/vacc_care/vacc_board_view_frame.jsp?vac_id=VAC20120613002