pixabay
안녕하세요. @june0620 입니다.
QA 업무를 하다 보면 host 파일을 수정해야 할 때가 많습니다. 업무 특성상 자주 하는 일이라 별로 신경 쓰지 않았었는데요. 예전에 host를 변조해서 네이버 계정을 탈취했다는 기사를 접했었는데 오늘은 그 원리가 무엇이고 어떻게 가능한지 알아보겠습니다. (#갑분해)
host를 알기에 앞서 먼저 IP 주소를 알아봅니다. 웹 사이트에 접속하려면 그 웹사이트가 가지고 있는 고유의 IP 주소를 알아야 합니다. 즉 네이버에 접속하려면 네이버가 설정한 IP 주소(125.209.222.141)로 접속해야 합니다. 브라우저 창에 125.209.222.141로 접속해도 네이버 페이지가 열리는데요. 인터넷 초기 단계에서는 웹사이트 방문을 모두 IP로 접속했다고 하지요. 하지만 IP 주소는 모두 숫자로 되어 있어 기억하기 쉽지 않아 대안으로 나온 것이 바로 DNS입니다. Domain Name Service라고 하는 이 서비스는 도메인명과 IP 주소를 매핑해 주는 역할을 합니다. 네이버를 예로 naver.com이라는 도메인은 125.209.222.141라는 IP에 매핑이 되어 DNS에 저장되어 있습니다. 당연히 이는 네이버가 돈을 내고 매핑한 것이고 다른 말로 도메인을 샀다고 하죠.
사용자가 브라우저에 naver.com을 입력하면 컴퓨터는 인터넷을 통해 먼저 DNS 서버로 접속하고 해당 도메인에 매핑된 IP 주소로 검색해 최종적으로 그 IP로 접속합니다. 전화번호부랑 비슷한 원리라고 보시면 될 것 같습니다.
그럼 host는 뭐냐? 간단하게 말해서 로컬 DNS 서버라고 보면 됩니다. DNS 서버로 가기 전에 먼저 들리는 곳이 바로 그 PC의 host 파일입니다. 브라우저에 naver.com을 입력하면 컴퓨터는 먼저 이 host 파일을 경유하는데 만약 이 파일에 naver.com의 매핑된 IP가 있을 경우 DNS 서버를 거치지 않고 즉시 그 IP로 접속합니다. 여기서 의문 하나. host 파일 내 naver.com 도메인에 daum.net의 IP 주소를 매핑하면 어떻게 될까요? 한 번 해볼까요?
host 파일은 windows 기준으로 C:\Windows\System32\drivers\etc폴더에 있는데요. 파일을 메모방으로 열고 아래처럼 추가해 보겠습니다. (daum.net 도메인에 naver.com의 IP 매핑)👇
그다음 브라우저 창에 daum.net를 입력하면...... naver.com로 이동하는 것을 볼 수 있습니다.👇
네이버 계정 탈취를 시도한 해커는 바로 이걸 노린 겁니다. 악성코드를 컴퓨터에 심은 후 host 파일을 변조하여 naver.com 도메인에 본인이 만든 서버 IP를 매핑한 것, 또한 이 IP의 웹페이지를 네이버 메인 화면과 똑같이 만들어 로그인한 계정정보를 고스란히 해커 서버에 저장되도록 하였습니다.
참으로 위험한 인터넷 세상이죠?
피해를 막을 방법은 백신 프로그램을 돈 주고 사서라도 설치할 것, 인증되지 않은 프로그램은 설치하지 말 것, 추가로 정기적으로 host 파일 점검할 것... 등이 있겠습니다.
이상 갑자기 생각나서 쓰게 된 뻘글입니다.
행복한 밤 보내세요^^