만약 인터넷을 하다가 위와 같은 페이지를 만났다면 그 즉시 사용을 멈추고 웹서비스 모든 암호를 변경해야 합니다.

여러 웹서비스들은 아이디, 암호 같은 걸로 로그인을 한 뒤에는 다시 계정 로그인 정보를 요구하지 않고 세션 ID 같은 값으로 사용자를 판단합니다.

쉽게 말하면 최초 로그인 시 여러 인증을 거쳐서 로그인에 성공하면, 서버와 나 둘만 알고있는 열쇠를 복사해서 서로가 가지고 있고, 이후에는 그 열쇠만으로 서버 문을 열고 들어가는 거죠.

근데 PC의 hosts 라는 파일을 공격자가 탈취하면, 내가 보내는 모든 정보를 서버 대신 받을 수 있습니다.

예를 들어 내가 www.naver.com 이나 www.google.com 에 접속했는데, 실제로는 그게 네이버나 구글이 아니라 해커의 서버인 거죠.

피싱이랑은 다릅니다. 피싱은 주소를 비슷하게 만들어서 착각하도록 하는 패턴이 많은데, 이 경우는 정말로 올바른 URL에 접속해도 해커의 서버로 접속됩니다.

아까 네이버나 구글 같은 제공자와 열쇠를 공유한다고 했죠? 여기서 공격자는 네이버나 구글인 척 나에게 열쇠를 받고 "너 로그인한 거 맞네? 통과시켜줄게" 하고 자연스레 사이트에 접속되는 것처럼 꾸미고, 그 열쇠를 복사해 둡니다.

그리고 그 열쇠를 공격자가 사용해서 실제 네이버, 구글에 접속하면 무사통과가 되는 거죠.

좀 더 고도화된 해커라면 실시간으로 중간에서 프록시(중개 서버) 역할을 해서 사용자에게는 진짜 서버의 데이터를 대신 받아서 내려주기도 합니다. 물론 이런 중간 데이터는 다 해커의 손에 넘어가는 거죠.

그런 경우에 걸리면 첨부란 짤처럼 인증서가 잘못됐다는 표시가 뜹니다. 내가 알고있던 TLS 인증서와 지금 접속중인 서버의 TLS 인증서가 일치하지 않는다는 경고인데, 대부분은 그냥 "그래도 계속 접속하기" 같은 걸 눌러서 서버에 접속합니다.

그러면 그때부터는 메일, 개인정보 등 온갖 정보가 다 털리는 거죠. ㄷㄷ