DNS Changer는 2005년경 해외에서 처음 발견된 악성코드로 2011년 제작자가 체포되기 전까지 다양한 변형들이 유포되어 감염 피해를 유발했다.


이 악성코드의 특징은 감염된 시스템의 네트워크 설정 중 dns 서버 IP를 제작자가 운영하는 것으로 변경하는 것이다. DNS 서버의 IP를 변조하는 것은 DNS Changer 이외에도 다른 여러 악성코드들이나 파밍과 같은 사기 수법 등 다양한 형태의 공격 방식에서 사용되고 있다. DNS 서버의 IP를 제작자가 의도한 것으로 변경하면 웹 브라우저를 이용해 정상 웹 사이트의 도메인에 접속할 때 제작자가 의도한 사이트로 접속을 하도록 쉽게 조작할 수 있다. 이 경우 악성코드를 제거하더라도 사용자가 dns가 변경된 것을 인지 하지 못하는 경우 이로 인해 다시 감염이 될 가능성이 높기 때문에 지속적인 피해를 당할 가능성이 높다.

 

DNS Changer의 경우에도 감염 시 웹브라우저를 이용해 정상적인 사이트에 접속할 때 악성코드를 감염시키는 페이지로 접속 하도록 변경하여 2차 감염의 피해를 유발한다. 더구나 이 악성코드는 제작자가 감염된 시스템을 좀비PC화하여 다양한 용도로 사용하기 위해 제작되었기 때문에 감염된 시스템은 PC 사용자 정보의 유출뿐 아니라 다른 시스템을 공격하는 등 여러 가지 문제를 유발했을 가능성이 높다.

 

DNS Changer Working Group( http://www.dcwg.org )의 자료에 의하면 이 악성코드에 감염이 된 시스템은 대부분 미국과 유럽에 위치하고 있고 약 30-40만대 정도의 시스템이 현재 감염이 된 상태로 보인다.

 

[그림1] DNS Changer 감염 현황

 

감염 피해 현황에 대한 정보는 DCWG에서 제공하는 감염된 시스템의 Unique IP 로 추정해볼 수 있다.

  • DNS Changer 감염 Unique IP 현황

       - http://www.dcwg.org/updated-dns-changer-data-daily-count-of-unique-ip-addresses/

 

다만 감염된 시스템들이 모두 항상 켜져 있는 것은 아닐 것이므로 이 수치는 대략적인 것이고 실제로는 더 많은 시스템들이 감염이 되어있을 것으로 보인다.

 

다행스러운 것은 현재는 제작자가 검거되었기 때문에 봇넷은 더 이상 동작하지 않을 가능성이 높다는 것이다. 그렇다고 해도 이 악성코드의 변형이 매우 많고 다양한 기능들이 아직 동작하고 있을 것이므로 여전히 이 악성코드 감염으로 인한 피해의 가능성은 남아있는 상황이다.

 

그 중 가장 큰 문제가 되는 것이 변경된 DNS 서버 주소로 인한 것이다. FBI에서는 악성코드 제작자가 운영하던 DNS 서버를 7월 9일 정지시킬 예정인데 감염되어 DNS 서버의 주소가 변경된 경우 DNS 서버를 사용할 수 없게 되므로 도메인을 이용한 웹 사이트 접속 등의 통신이 불가능하게 된다.
개인 PC 뿐 아니라 도메인을 이용해 서버간 통신을 하는 경우에도 DNS 서버를 사용할 수 없게 되므로 인해 대상 서버의 IP 주소를 찾지 못해 서비스에 장애가 발생할 가능성이 있다. 특히 웹서버와 같은 도메인을 많이 사용하는 시스템들은 주의가 필요하다.

 

정부의 발표에 따르면 국내에서 DNS Changer의 감염 수치가 미비한 수준이라 이 악성코드에 의한 영향이 많지는 않을 것이라고 하고 DCWG에서 발표한 감염 피해 현황에도 국내의 감염 피해가 많은 것 같지는 않지만 장애 예방 차원의 점검을 해볼 필요는 있다.

 

가장 문제가 될 소지가 있는 통신 장애에 대비해 자신이 사용하고 있는 시스템이 감염되었는지 간단하게 확인을 해볼 필요가 있는데 이를 위해서는 DNS 서버의 주소가 아래의 악성 서버로 변경되어 있는지 조사를 해보면 된다.

 

DNS Changer의 악성 DNS 서버 목록 
 시작 IP  마지막 IP  CIDR
 85.255.112.0  85.255.127.255  85.255.112.0/20
 67.210.0.0  67.210.15.255  67.210.0.0/20
 93.188.160.0  93.188.167.255  93.188.160.0/21
 77.67.83.0  77.67.83.255  77.67.83.0/24
 213.109.64.0  213.109.79.255  213.109.64.0/20
 64.28.176.0  64.28.191.255  64.28.176.0/20

[표1] DNS Changer가 운영하는 악성 DNS 목록

 

기업 사용자는 내부 서버들의 네트워크 설정 정보를 점검하는 것이 좋겠지만 환경이 되지 않는 경우 위의 주소로 dns 쿼리 등 통신을 하는 시스템이 있는지 방화벽 등 네트워크 장비를 모니터링 해보는 것을 권장한다.

 

개인 사용자는 아래 사이트에 접속을 하는 것만으로도 위 표에 나온 DNS 서버를 사용하고 있는지 체크를 해주므로 접속을 해볼 것을 권장한다.

  • DNS Changer 감염여부 점검하기

      - http://www.dns-ok.us/

[그림2] DNS Changer 감염여부 체크하기


또한 보호나라에서 DNS Changer와 관련해 발표한 정보를 참고하면 피해 예방에 도움이 될 수 있다.

  • 보호나라의 DNS Changer 정보보기

      - http://www.boho.or.kr/kor/notice/noticeView.jsp?p_bulletin_writing_sequence=960

  • 보호나라에서 제공하는 DNS Changer 전용백신

      - http://download.boho.or.kr/vacc_care/vacc_board_view_frame.jsp?vac_id=VAC20120613002

 

마지막으로 악성코드에 대한 이해를 돕기 위해 미국 FBI에서 발표한 내용을 참고해볼만 하다.

 - http://www.fbi.gov/news/stories/2011/november/malware_110911/DNS-changer-malware.pdf

 

DNS Changer가 다양한 변형이 있고 감염 시 여러 악성코드들을 설치하기 때문에 위에 감염이 의심되는 경우 위에 제시한 여러 가지 내용 중 DNS 주소를 체크하는 것과 전용백신을 이용한 검사는 병행을 하는 것을 권장한다. 다만 이 악성코드의 경우 5년 가까운 오랜 기간 동안 변형이 유포되었기 때문에 전용백신이라고 해도 미진단되는 변형이 있을 가능성이 있다. 따라서 사용하고 있는 백신이 있다면 최신 엔진으로 업데이트 후 추가로 검사를 해보는 것이 좋다.

저작자 표시 비영리 변경 금지
신고
Posted by AhnLab_ASEC