갑자기 인터넷이 안된다면…’DNS 체인저’ 의심

가 +
가 -

어제까지 멀쩡하게 인터넷에 잘 접속되던 컴퓨터가 갑자기 인터넷에 접속이 안되고, 접속되도 이상한 웹사이트가 계속 등장한다면, ‘도메인주소 시스템 체인저(DNS Changer)’라는 악성코드 감염을 의심해 볼 필요가 있다.

한국인터넷진흥원(KISA)은 현재 사용하는 PC와 인터넷선이 정확하게 설치돼 있고, 회선이 정상인지 확인했음에도 불구하고 7월9일 오후부터 갑자기 컴퓨터의 인터넷 접속이 안된다면 ‘DNS 체인저’라는 악성코드 감염을 의심하고, 즉각 백신 치료에 나설 것을 당부했다.

DNS 체인저란 사용자 PC를 감염시켜 해당 PC에 설정된 DNS 서버가 아닌 해커가 운영하는 DNS 서버로 연결되도록 하는 악성코드의 한 종류다. 도메인 이름을 인터넷 프로토콜(IP) 주소로 변환해주는 DNS의 설정을 바꿔놓았기 때문에, 특정 웹사이트 주소를 정상적으로 입력해도 해커가 만든 엉뚱한 사이트로 계속 접속된다.

KISA 관계자는 “그동안 미 연방수사국(FBI)이 DNS 체인저에 감염된 컴퓨터들이 정상적으로 인터넷에 접속할 수 있도록 지난해 11월부터 DNS 임시 서버를 운영했으나, 더이상 서버유지비용을 감당하지 못해 서버 운영을 중단하면서 문제가 불거졌다”라며  “한국기준으로 7월9일 오후1시1분에 임시 서버 운영을 완전히 중단하면서, DNS 체인저에 감염된 컴퓨터들에게서 인터넷 접속 장애 문제가 불거졌다”라고 설명했다.

이 악성코드는 2007년 한 국제 사이버범죄단체가 인터넷 광고를 가장해 무차별 배포하면서 처음 등장했다. 지난해 미국 FBI는 악성코드를 배포한 조직 검거에 나섰으며, 로그 서버에 접속한 사용자가 일반 서버에서 인터넷을 사용할 수 있도록 임시조치를 취했다. 몇가지 도구로 악성코드를 제거할 수 있으나 아직까지 수천대 이상의 기기가 DNS 체인저에 감염돼 있는 상태다.

다행히도 국내는 지난 2월부터 감염된 국내 컴퓨터 파악에 나서면서 문제가 심각하지 않은 상태다. KISA 설명에 따르면, 지금까지 국내서 DNS 체인저에 감염된 PC는 1798대로 아직 치료되지 않은 PC는 3백여대에 불과하다.

KISA는 DNS 체인저로 인한 인터넷 접속 장애를 예방하기 위해 지난 2월부터 감염된 국내 컴퓨터를 파악해 피해 사실을 고지했다. 지난달부터 보호나라를 통해 치료용 전용백신을 제공하는 등 예방조치를 시행했다.

그러나 아직까지 백신 치료가 안된 일부 컴퓨터, 또는 백신으로 치료했는데도 인터넷 접속이 안된 컴퓨터일 경우 DNS 설정을 변경해야 한다. 감염 여부는 사용자 PC에 설정된 DNS 서버 정보가 ‘자동으로 DNS 서버 주소 받기’로 안되어 있거나, 사용자가 직접 지정한 IP 주소가 아닌 경우에 의심해 볼 수 있다. 마이크로소프트의 운영체제인 윈도우7과 윈도우XP에서 DNS 주소는 다음과 같은 방법으로 확인해 볼 수 있다.

감염 사실 확인된 사용자는 KISA 보호나라에서 제공하는 전용 백신을 다운로드 해 악성코드를 치료한 뒤 DNS 설정을 정상화 하면 된다. 또는 안티 바이러스 개발사 소포스에선 배포한 동영상을 참고해 DNS 체인저에 감염되는 과정과, 감염후 대책을 살핀 뒤 백신 프로그램을 이용해도 된다.

[youtube Gl7d6cDFDHo]

☞DNS체인저 영상 보러가기