최근 그래텍(Gretech) 업체에서 제공하는 동영상 플레이어 곰플레이어(GomPlayer) 프로그램을 설치할 때 곰안티피싱(GomAntiPhishing) 프로그램을 기본값으로 추가하여 배포하고 있습니다.

특별히 보안 솔루션을 서비스하는 업체가 아닌데 곰안티피싱 프로그램을 제공하는 이유는 정확하게 알려지지 않았지만, 국내 인터넷 사용자를 대상으로 한 인터넷뱅킹 악성코드가 광범위하게 유포되고 있다는 현실에 따라 배포하는 것이 아닌가 생각됩니다.

곰플레이어(GomPlayer)를 설치하는 과정에서 기본 설치 항목에 등록된 "곰안티피싱 설치"는 기본값으로 체크된 상태이며, 홈 페이지에서는 공개적으로 설치 파일은 따로 제공하지 않고 있습니다.

곰안티피싱 프로그램이 설치된 환경에서는 "C:\Program Files\GRETECH\GomAntiPhishing" 폴더에 파일을 생성하며, 시스템 트레이 알림 아이콘에 "곰안티피싱" 아이콘(※ 안전 : 녹색, 주의 : 주황색, 위험 : 붉은색)을 등록하여 색깔로 안전 여부를 표시합니다.

프로그램은 Windows 시작시 "C:\Program Files\GRETECH\GomAntiPhishing\GomAntiPhishingStart.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되며, 환경 설정에서는 기본적으로 위험 사이트(붉은색 아이콘)에 접근시 알림 메시지를 표시하도록 되어 있습니다.

  • 위험 사이트(붉은색) : 피싱 위험 목록에 존재하는 사이트
  • 주의 사이트(주황색) : 방문 사이트의 IP와 도메인이 일치하지 않는 사이트

반대로 주의 사이트(주황색)에 접속한 경우에는 아이콘의 색깔만 변하고 사용자가 아이콘을 클릭할 경우 추가적인 알림 메시지가 표시될 수 있도록 제작되어 있습니다.

 

  웹하드 접속시 인터넷뱅킹 악성코드 유포 주의 (2014.1.28)

 

실제 최근 유명 웹하드 사이트를 접속하는 과정에서 인터넷뱅킹 악성코드가 자동 설치되어 파밍(Pharming) 사이트로 접속이 이루어지는 사례를 통해 곰안티피싱 프로그램의 기능을 살펴보도록 하겠습니다.

  • C:\Windows\System32\drivers\etc\hosts :: 파일 변조
  • C:\Windows\System32\drivers\etc\hosts.ics :: 악성 호스트 파일 추가

메모리 해킹(Memory Hacking) 방식의 인터넷뱅킹 악성코드가 아닌 경우에는 대부분 호스트 파일을 조작하여 사용자가 은행 사이트에 접속시 가짜 은행 사이트로 자동 납치가 이루어지는 파밍(Pharming) 방식으로 제작되어 있습니다.

이렇게 감염이 이루어진 환경에서 사용자가 포털 사이트, 은행 사이트 접속시 화면 상에는 정상적으로 접속된 것처럼 표시하고 있지만 실제로는 동일한 모양으로 제작된 가짜 사이트로 연결된 것입니다.

 

네이버(Naver), 다음(Daum), 네이트(Nate) 포털 사이트 접속시에는 금융감독원 팝업창 생성을 통해 다양한 국내 은행 사이트로 접속을 유도하고 있으며, 이렇게 접속된 은행 사이트는 URL 주소는 동일하지만 실제로는 가짜 은행 사이트입니다.

이렇게 제작된 파밍(Pharming) 웹 사이트에 접속한 경우 곰안티피싱 프로그램의 아이콘은 주황색 또는 붉은색으로 표시하여 현재 접속한 사이트는 "개인정보 탈취 및 악성코드 감염 주의" 사이트로 표시하는 것을 알 수 있습니다.

 

 곰안티피싱의 문제점

 

인터넷뱅킹 악성코드에 감염된 시스템의 경우 사용자가 접속한 파밍(Pharming) 사이트의 경우 위험 사이트(붉은색)로 표시될 가능성보다는 주의 사이트(주황색)로 표시될 가능성이 더 높습니다. 이유는 위험 사이트는 피싱 위험 목록에 추가된 사이트에서만 표시되므로 시간이 걸리기 때문에 1차적으로 URL 주소와 IP 주소가 불일치하여 경고하는 주의 사이트로 표시되기 때문입니다.

그런데 위험 사이트는 자동으로 알림 메시지가 뜨지만 주의 사이트는 아이콘 색깔만으로만 표시하므로 사용자가 제대로 인지하지 못할 수 있으므로 주의 사이트도 알림 메시지가 기본적으로 표시되어야 할 것 같습니다.

또한 Windows 7 운영 체제부터는 기본 트레이 알림 아이콘 외에는 모두 "알림만 표시"가 기본값이므로 주의 사이트로 표시될 경우 사용자는 아이콘 색깔을 발견할 수 없으므로 아이콘 옵션을 항상 "아이콘 및 알림 표시"로 변경하고 사용하시길 권장합니다.

 

또 다른 문제로는 파밍(Pharming) 사이트의 경우에는 실제 URL 주소로 표시되지만 실제 IP 정보는 다른 가짜 사이트로 연결된 것이므로 곰안티피싱 프로그램에서 주의 사이트(주황색)로 표시할 수 있습니다.

하지만 피싱(Phishing) 사이트의 경우에는 사용자가 접속한 가짜 URL 주소로 연결되었기 때문에 해당 사이트 주소(URL / IP)가 피싱 목록에 등록될 때까지는 곰안티피싱 프로그램에서는 안전한 사이트로 표시된다는 점입니다.

 

개인적인 판단으로는 곰안티피싱 프로그램은 호스트 파일 변조를 통한 파밍(Pharming) 방식의 가짜 사이트 접속시에는 매우 유용하게 이용될 수 있지만, 피싱(Phishing) 사이트에서는 아무런 경고가 표시되지 않을 가능성이 있기에 "곰안티파밍" 프로그램이라고 이름을 짓는게 더 좋았을 것 같습니다.

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..