본문 바로가기
IT 보안소식

파밍(Pharming), "경남지방경찰청 파밍캅"과 "알약 전용백신"으로 검사하면 방지할 수 있다!!

by 잡다한 처리 2013. 3. 7.
반응형



요즘 파밍때문에 고생하시는 분들을 주위에서도 꽤 많이 볼 수 있다.
우선 파밍이 어떤것인지 모르시는 분은 아래의 링크에서 피싱, 파밍, 스미싱에 대해서 간단하게 보시기 바란다.



이런 파밍을 100% 예방하는 가장 좋은 방법이 있다. (※ 파밍에만 해당하는 대한 방법입니다.)

바로 인터넷 뱅킹, 폰뱅킹을 안쓰고 직접 은행에 가서 직거래 하는 방법이다.
이 방법을 사용하면 파밍에 대해서는 절대적으로 방어할 수 있다. 하지만 엄청 귀찮겠죠 ㅡㅡ;;
(그냥 웃자고 쓴거니, 죽자고 덤비지 마세요 ㅋㅋ)


그래서 간단하게 파밍에 방어할 수 있는 방법을 2가지 준비해 봤습니다.

첫번째 방법은, 경남지방경찰청에서 제작 한 "파밍캅" 으로 검사하는 방법이다.


파밍캅 프로그램은 자신이 가지고 있는 은행 목록과 사용자 PC에 있는 호스트(Hosts)파일을 비교하여 틀릴 경우
사용자에게 변조 된 사실을 알려주는 프로그램이다.

사용방법도 간단하다. 아래의 링크에서 파밍캅을 다운로드 받는다.

- 파밍캅 다운로드 : http://www.gnpolice.go.kr/pharming_cop.zip

다운로드 된 파일을 실행하면 감염되지 않은 사용자라면 모두 정상으로 나올 것이다.




그래서 임의로 hosts 파일을 변조 한 후 다시 실행 해 보니 아래 그림처럼 비정상으로 뜨게 된다.




그럼 쉽게 "제거" 버튼을 눌러서 호스트파일을 삭제하면 된다.




제거가 완료 되면, 백신과 같이 사용하면 효과적이라는 문구도 보여주고 있다.
그 만큼 파밍캅으로는 한계가 있기 때문이다. 



※ 파밍캅의 한계는 hosts 파일의 삭제이다.
사용자 PC에 악성코드가 설치되어 있다면, 지속적으로 hosts 파일이 변조 될 것이고 이를 생각한 파밍캅에서
백신과 같이 사용하라는 권고 사항이 나오게 되는 것이다. 

이와 대한 자세한 정보는 벌새님 블로그에서 좀 더 살펴 보시기 바랍니다.
(제목 : 경찰청 제공 인터넷뱅킹 악성코드 확인 프로그램 "파밍캅(Pharming Cop)" )



두번째 방법은, 이스트소프트에서 제작 한 "알약 전용백신" 으로 검사하는 방법이다.

전용 백신은 말그대로 빠르게 한가지 타겟을 정해 치료를 해주는 프로그램이다.
이번에 이스트소프트에서 제작한 알약 전용백신은 "공인인증서 탈취 및 파밍 악성코드" 를 위한 전용백신이다.

이스트소프트 알약 전용백신도 사용방법은 간단하다.
우선 아래의 링크에서 전용백신을 다운로드 받자.

- 이스트소프트 전용백신 다운로드 : http://alyac.altools.co.kr/SecurityCenter/Analysis/VaccineDownloadView.aspx?id=26

그 후 프로그램을 설치하면 아래와 같이 보여지게 된다.
간편하게 "검사" 를 누르자.




감염 된 상태의 사용자 PC라면 아래와 같이 "T.RHT.Hosts" 악성코드 이름으로 여러가지 내역들이 나오게 된다.
이후 "치료" 버튼으로 치료 하면 된다. 





인터넷뱅킹을 하기 전 이렇게라도 한번 해준다면, 
당신의 중요한 돈을 지킬 수 있다!!!
 



※ 참고사항 ※
경남지방경찰청의 파밍캅과 이스트소프트 알약 전용백신에는 몇가지 차이점이 존재하는데
가장 큰 차이점은 호스트(hosts)파일을 삭제하느냐 치료하느냐는 점이다.

예를 들어서 설명하겠다. 
아래의 그림은 현재 감염 되어 있는 호스트(hosts)파일의 내부 정보이다.




파밍캅으로 치료할 시 감염 된 호스트(hosts)파일을 삭제 하기 때문에, 
기존 호스트(hosts)파일에 있던 내용도 같이 잊어버리게 된다.
(사실 삭제하기는 하지만, hosts.bak 로 이름을 바꾸기 때문에 기존 내용을 찾을 수는 있다, 하지만 변조 된 내용도 같이 들어가 있다.)

이 기준은 파밍캅 홈페이지에도 기재되어 있다.
('파밍캅'은 악성코드가 감염시킨 hosts파일을 제거할 목적으로 개발되었습니다. 그러므로 점점 진화되는

'파밍'기법 전부를 대응할 수 없으므로 반드시 위 예방법을 준수하기시 바랍니다.  - by. 파밍캅 홈페이지)


이에 반대로 이스트소프트의 전용백신은 기존의 호스트(hosts)파일에 추가 된 사항만을 치료하게 된다.
따라서 아래의 그림과 같이 치료 후에는 원래의 호스트(hosts)파일이 가지고 있던 내용만 남게 된다.



둘 다 좋은 프로그램임은 분명하다.
파밍캅은 사용자PC의 호스트파일이 변조되었다는 사실을 빠르게 알 수 있다는 장점이 있지만,
악성코드는 삭제 하지 못하고, 기존의 호스트파일을 잃어버릴 수 있다는 단점이 존재한다.

알약 전용백신은 악성파일을 삭제하고, 호스트파일을 치료 할 수 있다는 장점이 있지만,
악성코드까지 검사하기 위해 검사속도가 파밍캅보다는 조금 느리다는 단점이 있다.

어떤 프로그램을 사용할 지는 사용자의 몫이기 때문에, 
자기 입맛에 맞는 프로그램을 사용하기 바란다.


댓글