Windows hosts 파일 위치 DNS 스푸핑 DNS Spoofing 위험

dns spoofing 주의! 이미지

간혹 보안 때문에 윈도우의 hosts 파일을 수정할 때가 있다. 하지만 반대로 이를 이용하면 보안 취약점이 된다.

그 이유는 hosts 파일 조금만 수정하면 가짜 웹사이트나 서버로 유도할 수 있기 때문이다. 

그래서 hosts 파일 위치 뿐만 아니라 이와 관련한 주의사항 정리하였다.

 

Windows에서 hosts 파일 수정 시 주의사항 요약:

1. 파일 위치:
   C:\Windows\System32\drivers\etc\hosts
2. 수정 방법:
   • 관리자 권한으로 메모장 또는 텍스트 편집기 실행.
   • C:\Windows\System32\drivers\etc 경로에서 hosts 파일 열기.
   • 파일 수정 후 저장.
3. 주의할 점:
   • 보안 위험: 해커가 hosts 파일을 수정해 사용자를 가짜 웹사이트로 유도할 수 있음.
   • 예: naver.com을 가짜 서버로 리디렉션하여 계정 탈취 가능.
4. 공격 시나리오:
   • hosts 파일에 가짜 IP 주소 추가.
   • 사용자는 브라우저에 입력한 도메인이 해커의 가짜 사이트로 연결됨.
   • 사용자가 로그인하면, 해커가 계정 정보를 탈취.
5. 대응 방안:
   • hosts 파일에 대한 접근 권한 제한.
   • 안티바이러스 소프트웨어로 악성 프로그램 차단.
   • DNS 보안 강화 및 신뢰할 수 있는 DNS 서버 사용.
   • HTTPS 및 자물쇠 아이콘 확인을 통한 안전한 웹사이트 접속.

파일 수정 시 항상 신중해야 하며, 의심스러운 항목 발견 시 즉시 삭제가 필요하다.

Windows에서 hosts 파일을 수정할 때는 주의가 필요. 이 파일은 로컬 컴퓨터에서 dns서버를 거치기 전에 캐쉬같은 역할로 도메인 이름과 IP 주소 간의 매핑을 담당하는 중요한 파일이기 때문에, 잘못된 수정은 심각한 보안 문제를 일으킬 수 있습니다.

hosts 파일 위치:

C:\Windows\System32\drivers\etc\hosts

수정 방법:

1. 메모장이나 텍스트 편집기를 관리자 권한으로 실행
2. 편집기에서 hosts 파일을 엽니다:
   • 파일 탐색기에서 C:\Windows\System32\drivers\etc 경로로 이동한다. 그 이후 파일을 살펴보는데 안보이면, 파일 형식을 "모든 파일"로 변경하여 hosts 파일을 선택한다.
3. 원하는 내용을 수정한 후 저장합니다.

---

주의할 점:

hosts 파일을 수정하는 행위는 위험할 수 있습니다. 해커들이 이 파일을 악용해 사용자를 가짜 웹사이트로 유도할 수 있다.

예시:

해커가 컴퓨터의 hosts 파일을 수정하여 naver.com을 입력했을 때 실제 네이버 사이트 대신 가짜 사이트로 연결되도록 만들 수 있다. 이 가짜 사이트는 네이버와 똑같이 생겼기 때문에, 사용자는 의심 없이 로그인을 시도하게 된다. 이때 해커는 사용자가 입력한 네이버 계정과 비밀번호를 손쉽게 탈취할 수 있다.

이처럼 hosts 파일을 통해 해커는 DNS 스푸핑(DNS Spoofing) 또는 DNS 하이재킹(DNS Hijacking)이라는 공격 방식을 사용할 수 있습니다. 이는 사용자가 의도한 정상적인 도메인 대신, 해커가 설정한 가짜 서버로 트래픽을 유도하는 것이다.

---

공격 시나리오:

1. 해커는 악성 소프트웨어나 다른 수법을 통해 컴퓨터의 hosts 파일을 다음과 같이 수정할 수 있다:여기서 192.168.2.101은 해커가 만든 가짜 네이버 서버의 IP 주소다.
2. 192.168.2.101 naver.com
3. 사용자가 브라우저에서 naver.com을 입력하면, 컴퓨터는 처음부터 DNS서버를 통해 IP를 가져오지 않고 가장먼저 hosts 파일을 확인한다. 이 파일에 naver.com이 해커의 IP 주소와 연결되어 있기 때문에 DNS 서버를 거치지 않고 가짜 사이트로 연결됩니다.
4. 가짜 사이트는 진짜 사이트와 매우 유사하게 설계되어 있어, 사용자는 의심 없이 로그인 정보를 입력하기 쉽다.
5. 해커는 이렇게 수집한 계정 정보로 실제 네이버 사이트에 접속해 사용자의 계정을 탈취하여 각종 범죄에 이용한다.

---

왜 위험할까?

• 피싱 공격: 가짜 사이트로 사용자를 유도해 민감한 정보를 탈취하는 피싱 공격에 쉽게 노출된다.
• 사이트 위조: 진짜와 거의 구분이 안 가는 가짜 사이트를 사용하면 사용자가 쉽게 속아 정보를 입력할 가능성이 농후하다.
• 트래픽 가로채기: 해커는 사용자가 특정 도메인에 접속할 때 트래픽을 감시하고, 공격할 수 있는 다른 기회를 노릴 수 있다.

---

대응 방안:

1. hosts 파일 보호: hosts 파일에 대한 접근 권한을 제한하고, 주기적으로 파일 내용을 확인하여 낯선 IP 주소가 추가되어 있지 않은지 점검.
2. 안티바이러스 소프트웨어 사용: 악성 소프트웨어가 hosts 파일을 수정하지 못하도록 보안 소프트웨어를 이용해 보호.
3. DNS 보안 강화: DNS 요청이 조작되지 않도록 DNSSEC(Domain Name System Security Extensions)을 사용하는 것이 좋습니다. 또한, 신뢰할 수 있는 DNS 서버를 설정하는 것도 중요.
4. 사이트 접속 시 HTTPS 확인: 브라우저에서 https://와 자물쇠 아이콘이 있는지 확인해 안전한 SSL/TLS 암호화 연결을 사용하고 있는지 확인 해야한다. 보통 가짜 사이트는 이러한 보안 인증서가 없다.

hosts 파일을 악용한 공격은 매우 단순하지만, 강력한 피해를 초래할 수 있기 때문에 주의가 필요합니다. 파일 수정 시 신중하게 진행하고, 의심스러운 항목이 있으면 즉시 삭제하는 것이 좋다.