네이버와 삼성 등 유명 도메인 사칭한 ‘위장 도메인’ 공격 늘었다

기업·정부기관·언론사 도메인을 가장한 공격이 빈번하게 발생
입사지원서를 가장한 랜섬웨어 공격 실제 사례 공유

[보안뉴스 박은주 기자] 기업이나 정부기관, 언론사의 도메인과 유사한 ‘위장 도메인’을 제작해 사용자를 속이는 사이버 위협이 이어지고 있다. 위장 도메인은 정상 도메인과 구분하기 어려운 정도로 정교하게 만들어져 각별한 주의가 요구된다.

▲악성 유사 도메인 위장 분류 유형과 Top 10[이미지=로그프레소]

클라우드 SIEM 전문기업 로그프레소(대표 양봉열)는 2024년 1월 사이버 위협 인텔리전스(CTI, Cyber Threat Intelligence) 월간 리포트를 발행했다. 1월 리포트에서 연말연시에 특히 주의해야 할 악성 유사 도메인을 설명했다. 더불어 △주목해야 할 CTI 이슈 △12월 수집 데이터 통계 △위협 분석 및 전망 등의 내용을 상세히 다뤘다.

로그프레소 CTI에서 수집한 악성 도메인을 수집해 위장 대상을 업종별로 분류하자 기업이 69%로 1위를 차지했다. 2위는 언론사, 3위는 정부기관 순으로 나타났다. 12월에는 평상시에 비해 언론사의 비중이 높아졌는데, 이는 언론사를 사칭하는 악성 유사 도메인이 집중적으로 생성된 것으로 보인다. 위장 대상의 세부 순위를 확인해보면 네이버가 3,350건으로 1위를 차지했으며, 2위는 삼성, 3위는 MBC, 4위는 국세청, 5위는 KBS로 확인했다.

또한 국세청, 국민연금공단, 국민건강보험공과 같은 정부기관으로 위장한 공격도 증가했다. 정부기관이 연말연시에 보내는 문서를 사칭한 것으로 드러났다.

로그프레소 장상근 연구소장은 “해가 바뀌는 때에 특정 공공기관이나 기업, 언론사의 정상 도메인을 가장해 개인정보를 탈취하는 악성코드 ‘스틸러 봇넷(Stealer Botnet)’과 피싱 공격이 가장 빈번하다”며 “악성 유사 도메인 관련 침해지표 및 상세 분석 정보를 참고해 피해가 발생하지 않도록 대비해야 할 것”이라고 전했다.

▲입사 지원자로 위장한 실제 메일[이미지=로그프레소]

이번 리포트에서는 로그프레소 채용 담당자에게 발송한 악성코드 이메일을 분석해 공격 방식과 사례를 소개했다. 메일 제목과 내용은 일반적인 지원 이메일과 유사하지만, 보안 솔루션에서 탐지되지 않도록 암호화한 압축 파일을 첨부했다. 공격자는 메일 내용에 비밀번호를 기재해 압축 파일을 해제하도록 유도했다. 실제로 악성코드를 실행하면 랜섬웨어가 구동돼 몸값을 지불하라는 내용을 바탕화면에 띄운다.

▲공격자가 변경한 바탕화면 예시[이미지=로그프레소]

악성코드가 포함된 이메일로 발생할 수 있는 피해를 막기 위해서는 불분명한 첨부파일은 함부로 내려받거나 실행하지 않아야 한다. 또한 윈도우 탐색기에서 파일 확장자가 보이도록 설정하고, 파일을 열거나 실행하기 전에 첨부된 파일의 확장자를 확인하는 보안 의식이 필요하다.

한편, 로그프레소 측은 기업들이 쉽게 접하기 어려운 위협 정보를 공유하고, 신속하게 대응할 방안을 안내하고자 지난해 말부터 리포트를 제작해 배포하고 있다. 해당 리포트는 로그프레소 홈페이지에서 다운로드 할 수 있으며, 구독 신청 시 매달 초 정기 리포트를 메일로 받아볼 수 있다. 로그프레스는 현재 누적 침해 지표(IoC) 2억건 이상, PI(Privacy Intelligence) 420억건 이상의 CTI 정보를 보유하고 있으며, 실시간으로 전 세계를 대상으로 보안 위협 정보를 수집하고 추적 중이다. 이렇게 축적한 데이터를 기반으로 작성한 ‘사이버 위협 인텔리전스 리포트’를 통해 위협 정보를 쉽게 설명하고, 앞으로도 대한민국의 위협 대응과 효과적인 예방 활동을 지원해 나가겠다는 계획이다.
[박은주 기자(boan5@boannews.com)]

올해 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)