금융감독원/KISA 사칭 및 파밍 문제 해결 방법

                 

가정용 PC와 같이 보안에 신경쓰지 않는 PC의 경우 파밍 수법 악성 코드에 감염되는 경우가 있습니다.

원인은 주로 코드 감염에 의한 host 파일의 변조 혹은 공유기 DNS 조작인데요.

이렇게 악성 코드에 감염된 상태에서 웹 브라우저를 이용해 네이버와 같은 포탈 혹은 은행 사이트 등에 접속하는 경우, 아래 화면과 같이 해당 사이트로 위장한 파밍 사이트로 연결될 수 있습니다.

이 글에서는 이러한 파밍 증상이 나타나는 PC의 치료 방법에 대해 설명하겠습니다.

1. 악성 코드 제거

- 재발을 막기 위해 최우선적으로 진행해야 하는 부분입니다.
- 악성 코드 치료 프로그램/백신의 정밀(고급) 검사를 이용해 PC를 스캔하여 바이러스나 악성 코드가 발견되었다면 치료 합니다.
- 시작 메뉴 → 실행 →' msconfig'을 입력하여 시스템 구성 도구를 실행한 뒤 '시작프로그램' 탭에서 의심가는 프로그램을 제거합니다.

2. host 파일 복원

- host 파일 변조에 의한 문제일 경우 host 파일 복원으로 해결됩니다.
- C:\Windows\System32\drivers\etc 에 위치한 host 파일을 메모장으로 열어 다음 이미지와 같이 의심가는 사이트로 연결되도록 설정된 경우 해당 부분을 삭제합니다. (host 파일 자체를 삭제하지는 마세요.)
- 잘 모르겠다면 다음 원본 파일을 다운로드 후 etc 폴더에 덮어 씌웁니다.
  Windows XP용 etc 폴더 원본: http://www.boho.or.kr/kor/protect/etc_xp.zip
  Windows 7용 etc 폴더 원본: http://www.boho.or.kr/kor/protect/etc_7.zip

3. 공유기가 감염된 경우

공유기의 외부 관리자 포트가 기본 설정 되어 있는 취약점을 이용하여, 공유기의 DNS 서버 IP 주소를 조작하여 파밍(Pharming)을 유도하는 경우가 이에 해당됩니다. 아래는 기본적으로 많이 사용되는 제품의 해결 방법이며, 다른 제품도 메뉴만 다르지 비슷하기 때문에 같은 방식으로 해결하시면 됩니다.

- ipTIME 공유기 초기화 방법: http://hwtips.tistory.com/819

- 해당 공유기의 관리자 페이지로 접속합니다.
  (제품에 따라 다른데 일반적으로 주소창에 192.168.0.1 / 192.168.1.1 / 192.168.10.1 / 192.168.11.1 등을 입력하시면 됩니다.)

- ipTIME의 제품을 사용하는 경우:
  1. 혹시 펌웨어가 오래되었다면 최신 펌웨어로 업데이트합니다.
  2. [고급설정] - [보안기능] - [공유기 접속 관리] 메뉴에서 [원격 관리 포트]의 체크 박스를 해제합니다.
  3. [기본설정] - [인터넷 연결 설정] 메뉴에서 [수동으로 공유기의 DNS 서버 설정]에 체크 박스를 해제합니다.
  4. 적용 후 공유기를 재부팅하여 해당 설정을 다시 확인합니다.
  5. 공유기에 암호가 없는 경우 암호를 걸고 사용하고, 기본 비밀 번호인 경우 혹은 사용 중인 암호가 있는 경우 다른 암호로 변경합니다.

- Anygate 제품을 사용하는 경우:
  1. 혹시 펌웨어가 오래되었다면 최신 펌웨어로 업데이트합니다.
  2. [전문가설정] - [보안설정] - [UI외부접속여부, 외부접속여부] 메뉴에서 [사용 안 함]을 선택합니다.
  3. [인터넷설정] - [인터넷 연결 설정] 메뉴에서 [주 DNS, 보조 DNS]에 의심스러운 DNS 주소가 있다면 삭제합니다.
  4. 적용 후 공유기를 재부팅하여 해당 설정을 다시 확인합니다.
  5. 공유기에 암호가 없는 경우 암호를 걸고 사용하고, 기존 암호가 있었다면 다른 암호로 변경합니다.


참고 사이트: 인터넷진흥원AnygateipTIME

다른 사람들이 많이 보는 글

댓글 2

*

*

이전 글

다음 글