파밍 악성코드에 감염된 내 컴퓨터, 이렇게 치료하세요!

파밍 악성코드에 감염된 내 컴퓨터, 이렇게 치료하세요! AhnLab / 2013-03-21    퇴근 후 인터넷 뱅킹을 하려고 컴퓨터를 켠 나침착씨, 평소대로 즐겨찾기해 둔 은행 홈페이지에 접속했다. 익숙한 은행 사이트에서는 ‘금융 사기가 빈번하게 발생하고 있어 보안 관련 인증절차가 필요하다’는 내용의 팝업창이 떴다. 나씨는 뭔가 이상하다는 생각이 들었다. ‘신청하기’를 클릭하자 주민등록번호부터 계좌번호, 계좌 비밀번호, 보안카드 번호 등을 입력하라는 창이 나타났다. “아, 이게 바로 뉴스에서 말하던 파밍(Pharming)이구나! 그런데 어떻게 치료해야 하지?”   파밍은 악성코드에 감염된 컴퓨터의 호스트(hosts) 파일을 변조해 사용자가 금융기관 사이트에 접속해도 가짜 사이트가 연결되어 사용자 스스로 공격자에게 금융정보를 제공하는 형태의 보안 위협이다. 공격자는 PC에서 주소록 역할을 하는 호스트 파일 등을 조작하는 방법으로 피싱 사이트에 접속하도록 설정해 놓는다. 파밍이 악성코드 감염으로 시작된다는 점에서 백신 프로그램을 최신의 상태로 유지하는 것은 매우 중요하다. 인터넷 뱅킹을 이용하기 전 V3 검사를 하는 습관은 인터넷 금융 사기를 막는데 큰 도움이 된다.  그렇다면 나침착씨의 경우처럼 금융 사이트의 서비스를 이용하던 중 파밍 악성코드가 의심된다면 어떻게 해야 할까. 일단 해당 금융기관에 연락해 이를 알리고 필요한 조치를 취해야 한다.   좀 더 안전한 인터넷 금융 거래를 위해서는 변조된 호스트 파일을 복원하고, 악성코드를 치료하는 아래의 방법을 적용해보는 것도 좋다. 최근 한국인터넷진흥원(KISA) 인터넷침해대응센터는 인터넷 홈페이지를 통해 파밍 악성코드에 감염된 컴퓨터를 치료하는 3가지 방법을 소개했다.     1. 파밍캅으로 PC의 호스트 파일 변조 여부 확인 뒤 삭제   파밍캅(Pharming Cop)은 경남지방경찰청이 제공하는 파밍 예방 프로그램으로 은행 사이트 접속 시 악성코드를 잡아내 삭제할 수 있도록 도와준다. 파밍캅 적용을 위해서는 먼저 경남지방경찰청(http://www.gnpolice.go.kr/)에 접속해 파밍캅을 다운로드 한 후 실행한다. 위험요소 발견 메시지가 나오면 ‘제거’ 버튼을 클릭한다. 그런 다음 V3 등 백신 프로그램을 최신 버전으로 업데이트 한 뒤, 악성코드가 발견되면 치료한다.      [그림 1] 파밍 예방 프로그램 '파밍캅'     2. MS가 제공하는 호스트 파일 초기화 프로그램 설치 파밍 악성코드에 감염된 PC의 변조된 호스트 파일을 삭제하기 어려울 때에는 마이크로소프트(MS)가 제공하는 호스트 파일 자동 초기화 프로그램을 이용하는 방법도 있다. ‘호스트 파일 기본값으로 다시 설정하는 방법’ 에 접속한 뒤 ‘Fix it’을 클릭해 파일 다운로드 대화상자에서 실행을 클릭한다. 그런 다음 V3 등 백신 프로그램을 최신 버전으로 업데이트 한 뒤 파밍 악성코드를 치료한다.   [그림 2] MS의 호스트 파일 기본값 설정 지원 화면     3. 수동으로 호스트 파일 복구하는 방법 먼저 C:\windows\system32\drivers\etc의 호스트 파일을 메모장으로 연다.     [그림 3] 호스트 파일 경로   아래 [그림 4]와 같이 은행 사이트 등의 URL과 특정 IP가 기재돼 있다면 모든 내용을 삭제한 뒤, 호스트 파일을 저장하고 창을 닫는다. 그런 다음 V3를 최신 버전으로 업데이트 한 후 악성코드를 치료한다.     [그림 4] 호스트 파일 내용 확인      안랩은 시큐리티레터 471호 <피싱보다 무서운 '파밍 경계령'>을 통해 파밍의 위험성을 알리고 예방법을 소개한 바 있다.   자세한 내용은 인터넷진흥원 보호나라를 참조하거나 국번 없이 118로 문의하면 된다.@