# Copyright (c) 1993-2009 Microsoft Corp.

#

# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.

#

# This file contains the mappings of IP addresses to host names. Each

# entry should be kept on an individual line. The IP address should

# be placed in the first column followed by the corresponding host name.

# The IP address and the host name should be separated by at least one

# space.

#

# Additionally, comments (such as these) may be inserted on individual

# lines or following the machine name denoted by a '#' symbol.

#

# For example:

#

#      102.54.94.97     rhino.acme.com          # source server

#       38.25.63.10     x.acme.com              # x client host


# localhost name resolution is handled within DNS itself.

# 127.0.0.1       localhost

# ::1             localhost




본 포스트를 쓴 목적이 호스트 파일이 무조건 변조되어 악성코드로서의 기능으로서 수행되는 것이 아니라 악성코드 기능 수행 외에도 다른 쓰임새가 있다는 것을, 즉 호스트 파일에 대하여 좀 더 올바른 인식을 가지자는 의미에서 작성을 하였다. 뭐 이러한 의미에서 본 포스트를 시작하고자 한다.



윈도우에 내장되어 있는 호스트파일은 Windows 7 기준으로 C:\Windows\System32\Drivers\Etc\hosts에 위치해 있으며, hosts 파일의 본래적 기능은 특정 호스트(www.naver.com)를 hosts 파일에서 지정한 IP로 연결(할당)시켜주는 것이다. 가령 222.222.222.222    tistory.com으로 입력했을 경우 티스토리를 222.222.222.222라는 IP로 연결시켜 주는 것이 바로 호스트의 본래적이며 근본적인 기능이라고 할 수 있다.


이러한 특성을 이용하여 일부 사람들이 호스트 파일을 아래와 같이 이용해왔다.



1) 광고 팝업창 차단 : 사실 인터넷 신문기사를 보면 양 사이드 쪽으로 모두 성인 비아그라니 조루니해서 진지한 기사에 자극적인 광고가 어우러진 역설적인 장면을 많이 볼 수 있다. 이러한 광고들을 안 보기 위해 호스트 파일을 임의로 수정하여, 광고의 매개체가 되는 호스트주소를 127.0.0.1으로 루프백(Loop-back), 즉 자기 자신의 서버로 연결시켜 광고창을 뜨지 않도록 한다. 현재는 잘 쓰이고 있는지 잘 모르겠다. 이 방법은 여기서 언급할 것들 중에서 제일 순기능이라고 볼 수 있다. 추가적으로 악성코드 유포 사이트도 이러한 방식으로 막을 수 있지만 악성코드 유포 사이트의 경우 극히 유동적이다보니 호스트 파일 수정으로 차단하기에는 역부족이다.



2) 각종 크랙 및 윈도우 정품 인증 우회 : 특히 윈도우 정품 버젼이 아닌 크랙 버젼을 이용하는 사람들이 임의대로 호스트 파일을 변경하여 1번처럼 자신의 IP(127.0.0.1)로 루프백시켜 윈도우 정품 인증을 우회하는데 많이들 이용이 되고 있으나 현재는 본인이 정품 윈도우를 이용하고 있기에 현재에도 유효하는지에 대해서는 잘 모르겠다. ㅇㅅㅇ;; 그리고 윈도우와 더불어 포토샵 등의 일부 정품 프로그램을 이용하는데 있어 '인증 과정'을 우회하기 위해 호스트를 변조하는 경우가 아직도 쓰이고 있는 것으로 알고 있다.





3) 각 백신사 및 백신 업데이트 차단 : 말 그대로 예전에 유행했던 악성코드 중에 백신사 홈페이지와 백신 업데이트 서버를 루프백 IP(127.0.0.1)을 이용하여 모두 차단시키는 기능으로 변질되어 이용이 되어 왔고 현재는 그렇게 존재감이 없으나 가끔 재조명 받는 경향이 있다.



4) 파밍 악성코드로서의 기능 : 현재 호스트 파일을 이용한 방법 중 가장 악질적인 방법으로 호스트를 변조하여 금융기관 및 현재 살고 있는 대한민국에서 가장 많이 이용하는 포털 사이트(네이버, 다음)를 모두 특정한 파밍 IP로 강제로 연결시킨 다음, 사용자의 부주의를 기반으로 계좌이체비밀번호, 보안카드 등의 정보를 유출해내는데 이용되고 있다. 최근에는 hosts보다 더 한 단계 더 높은 권한을 가진 hosts.ics를 이용하여 파밍 악성코드 역할을 수행해내고 있다.





>> 호스트 파일(hosts) 현재의 위치 : 사실 호스트 파일은 나쁜 파일은 아니고 오히려 앞서 말했듯이 1번과 같이 쓰일 경우 아주 유용한 기능 중 하나이다. 더불어 불법 해적판 쓰는 분들에 한해 정품 인증을 우회할 하나의 방법이 생기기 때문에 이 분들에 한해서 다소 유용한 기능이라고 볼 수 있다. 하지만 악성코드의 발전으로 인하여 호스트 파일은 현재 오히려 백신 사이트 및 업데이트 차단과 더불어 급기야 금융기관 사이트를 파밍 사이트로 우회시켜 금융정보를 유출해내는 악 기능으로 보여지고 있다. 이러한 특성에서 그런지 일부 사람들은 호스트 파일이 나쁘다는 인식을 많이 가지고 있고 심지어 삭제해야 한다고 말한다. 과연 이러한 논리는 옳은 것일까?



Posted by Ec0nomist

댓글을 달아 주세요

  1. 릿츠

    관심있는 정보들이 아주많네요!!! 자주자주 들리겠습니다^.^

    2014.02.03 06:06 [ ADDR : EDIT/ DEL : REPLY ]