Pharming

파밍(Pharming)이란 무엇일까요? 🕵️‍♀️

파밍은 '피싱(Phishing)'과 '파밍(Farming, 농사를 짓다)'의 합성어입니다. 겉보기에는 진짜 웹사이트처럼 보이지만, 사실은 해커가 만든 가짜 웹사이트로 사용자를 속여서 개인 정보를 빼가는 사이버 공격 방식이에요.

가장 무서운 점은 사용자가 인터넷 주소창에 정확한 웹사이트 주소를 입력했음에도 불구하고 가짜 사이트로 연결될 수 있다는 것입니다. 마치 정확히 목적지에 도착했다고 생각했지만, 실제로는 엉뚱한 곳에 내려진 것과 같아요.

파밍의 목표

주로 은행 계좌 정보, 신용카드 번호, 아이디, 비밀번호와 같은 민감한 금융 정보나 개인 정보를 훔치는 것이 목표입니다.

---

파밍(Pharming) vs 피싱(Phishing) : 핵심 차이점 💡

두 공격 방식 모두 사용자의 정보를 훔치려는 목적은 같지만, 접근 방식에 큰 차이가 있습니다.

• 피싱(Phishing) 🎣 (낚시):
  • 방식: 이메일, 문자 메시지, 메신저 등을 통해 가짜 웹사이트 링크를 보내 사용자가 직접 그 링크를 클릭하도록 유도합니다. "당신의 계정이 잠겼습니다. 이 링크를 클릭하여 인증해주세요!" 같은 메시지를 보냅니다.
  • 핵심: 사용자가 링크를 클릭해야 공격이 시작됩니다. 사용자의 '실수'나 '부주의'를 이용합니다.
• 파밍(Pharming) 🚜 (농사/사육):
  • 방식: 사용자의 컴퓨터(PC)나 인터넷 서비스의 '주소록' 역할을 하는 DNS 서버를 변조합니다. 그래서 사용자가 정상적인 주소를 입력해도 자동으로 해커의 가짜 사이트로 연결되게 만듭니다.
  • 핵심: 사용자의 의지나 클릭 없이 자동으로 가짜 사이트로 유도됩니다. 사용자가 주소를 정확히 입력해도 속을 수 있습니다.

간단히 말해, 피싱은 '사용자를 낚는 것'이고, 파밍은 '사용자의 길을 조작하는 것'입니다.

---

파밍의 주요 공격 방식 🛠️

파밍은 크게 두 가지 방식으로 이루어집니다.

 

1. 사용자 PC의 'hosts 파일' 변조

사용자의 컴퓨터에는 hosts라는 파일이 있어요. 이 파일은 특정 웹사이트 주소(예: www.mybank.com)를 어떤 인터넷 주소(IP 주소, 예: 123.45.67.89)로 연결할지 미리 지정해 놓을 수 있는 작은 주소록 같은 역할을 합니다. 컴퓨터는 웹사이트에 접속할 때 DNS 서버에 묻기 전에 이 hosts 파일을 먼저 확인합니다.

해커는 악성코드를 사용하여 이 hosts 파일을 몰래 변조합니다. 예를 들어, www.mybank.com이라는 주소를 입력하면 해커가 만든 가짜 은행 사이트의 IP 주소로 연결되도록 변경해 놓는 식이죠. 이렇게 되면 사용자는 아무리 정확한 주소를 입력해도 가짜 사이트에 접속하게 됩니다. 

Hosts File Manipulation

 

 

• NORMAL CONNECTION (정상 접속): 사용자가 PC에서 웹사이트 주소를 입력하면, PC는 Hosts File을 먼저 확인하고, 없으면 INTERNET / DNS를 통해 REAL BANK SERVER로 연결됩니다.
• PHARMING ATTACK (파밍 공격): HACKER / MALWARE가 PC의 Hosts File을 변조하여, 사용자가 정상 주소를 입력해도 FAKE BANK SERVER로 연결되게 만듭니다.

 

 

 

 

2. DNS 서버 변조 (DNS Cache Poisoning)

이 방식은 사용자 PC가 아닌, 인터넷 서비스 제공자(ISP)나 기업의 DNS 서버 자체를 공격하는 더 광범위하고 위험한 방식입니다. DNS 서버는 인터넷의 '전화번호부'와 같아서, 웹사이트 주소(도메인)를 실제 서버의 IP 주소로 변환해주는 역할을 합니다.

 

해커가 DNS 서버를 공격하여 특정 웹사이트 주소에 대한 잘못된(가짜 서버의) IP 주소 정보를 심어 놓으면, 그 DNS 서버를 이용하는 모든 사용자는 해당 웹사이트에 접속할 때마다 가짜 사이트로 연결됩니다. 이 공격은 훨씬 더 많은 불특정 다수의 사용자에게 영향을 미칩니다.

 

 

• NORMAL CONNECTION (정상 접속): 사용자가 PC에서 mybank.com을 입력하면, INTERNET / DNS 서버가 mybank.com에 해당하는 진짜 IP 주소를 알려주고 REAL BANK SERVER로 연결됩니다.
• DNS SERVER ATTACK (DNS 서버 공격): HACKER / MALWARE가 COMPROMISED DNS SERVER를 감염시킵니다. 그러면 mybank.com 주소에 대해 FAKE BANK SERVER의 IP 주소를 알려주게 되어, 사용자는 의도치 않게 가짜 서버로 연결됩니다.

 

 

파밍 공격의 특징과 위험성

• 정확한 주소 입력해도 속을 수 있음: 가장 큰 위험성입니다. 사용자의 주의만으로는 막기 어려울 수 있습니다.
• 교묘한 위장: 가짜 웹사이트는 진짜 사이트와 디자인, 메뉴, 서비스가 거의 똑같아 구분하기 매우 어렵습니다.
• 다양한 정보 탈취: 로그인 정보뿐만 아니라 공인인증서 비밀번호, OTP 정보, 보안카드 정보 등 금융 거래에 필요한 모든 정보를 탈취할 수 있습니다.

 

파밍 피해 예방 방법

파밍은 교묘하지만, 몇 가지 주의사항을 지키면 피해를 예방할 수 있습니다.

1. 최신 백신 프로그램 사용 및 업데이트:
   • PC의 hosts 파일을 변조하는 악성코드 감염을 막기 위해 필수적입니다.
   • 주기적으로 백신 프로그램으로 PC를 검사하여 악성코드 감염 여부를 확인하세요.
2. 출처 불명의 이메일/문자 메시지 링크 클릭 금지:
   • 아무리 파밍이 사용자 의지와 무관하게 일어날 수 있다 해도, 악성코드 유포의 시작은 사용자의 클릭일 수 있습니다. 의심스러운 링크는 절대 클릭하지 마세요.
3. 금융 거래 시 보안 수단 강화:
   • OTP(일회용 비밀번호)나 보안 토큰 같은 추가 인증 수단을 사용하면 피해를 줄일 수 있습니다. 비밀번호만으로 거래가 불가능하도록 만드는 것이죠.
4. 피해 발생 시 즉시 신고:
   • 만약 파밍이 의심되거나 피해를 입었다면, 즉시 은행, 경찰청(사이버수사대), 금융감독원 등에 신고해야 합니다.
5. DNS 설정 주기적 확인:
   • 개인 PC의 DNS 설정이나 라우터(공유기)의 DNS 설정이 임의로 변경되지 않았는지 가끔 확인하는 것도 좋습니다. (일반 사용자에겐 다소 어려울 수 있습니다.)
6. 웹사이트 주소창의 자물쇠 모양 확인 및 URL 유심히 보기:
   • 금융 사이트나 중요한 개인 정보를 다루는 사이트는 대부분 HTTPS를 사용하며, 주소창에 자물쇠 모양(🔒)이 표시됩니다. 이를 확인하고, 주소(URL)가 미묘하게 다른지(예: mybank.com이 아니라 mybnak.com 등) 유심히 살펴보는 습관을 들이는 것이 중요합니다.

---

파밍은 눈에 띄지 않게 이루어지는 공격이라 더욱 조심해야 합니다. 항상 경계를 늦추지 않고 말씀드린 예방 수칙들을 잘 지켜서 소중한 개인 정보와 자산을 보호하시길 바랍니다.