Home > 전체기사
누구 기획일까? 대규모 도메인 스푸핑 공격 발견돼
  |  입력 : 2019-08-08 10:57
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
월마트 등 유명 브랜드처럼 꾸민 도메인 스푸핑, 540개 이상 발견돼
구직, 온라인 데이팅, 엔터테인먼트 관련 가짜 사이트 많아...등록자는 파키스탄인


[보안뉴스 문가용 기자] 새로운 대형 스푸핑 캠페인이 발견됐다. 월마트를 위시로 수많은 웹사이트들을 흉내 내고 있는데, 현재까지 540여개가 발견됐다고 한다. 보안 업체 도메인툴즈(DomainTools)의 수석 보안 고문인 코린 이맛(Corin Imat)이 약 2주 전부터 발견한 것으로, “월마트라는 이름이 다양한 도메인에서 사용되고 있는 것이 눈에 띄었다”고 한다.

[이미지 = iclickart]


“제일 처음 발견한 건 walmartcareers.us라는 주소였습니다. 보자마자 수상하다는 생각이 들었고 조사를 시작했습니다.” 그러면서 한 이메일 주소를 발견했다. 수상해 보이는 도메인 184개와 관련이 있는 주소였다. 이 184개 도메인의 평균 수명은 190일이었다. 추적을 더 진행했더니 훨씬 광범위한 캠페인의 면모가 드러났다. “540개 이상의 가짜 도메인이 발굴됐습니다. 이 중 블랙리스트 처리되어 있는 건 181개뿐이더군요.”

조사의 원래 의도는 포춘 500대 기업, 즉 유명한 기업의 도메인을 스푸핑하고 있는 공격의 현황을 파악하고자 함이었다. 그러나 조사를 진행하면서 다른 방향을 선택할 수밖에 없었다고 한다. “저희가 찾아낸 도메인들을 봤을 때 공격의 표적은 구직자들이나 온라인 데이팅 사용자들인 것으로 보입니다. 그런 사람들이 접속할 만한 가짜 사이트를 만들고, 크리덴셜을 훔치는 것이 이 대형 캠페인의 궁극적인 목적입니다.”

여기에 TV나 엔터테인먼트 관련 가짜 웹사이트들도 다량으로 발견되기 시작했다. “구직, 온라인 데이팅에 영화와 TV 관련 웹사이트까지 뒤섞여 드니 솔직히 일정한 연관성을 찾기는 힘이 듭니다.” 각종 월마트 관련 가짜 웹사이트에 더해 이맛은 cashgiftcards.us, captainmarvelmovie.us, mcdonaldcareer.us와 같은 가짜 사이트를 찾아내는 데 성공했다.

이맛의 설명대로 현재까지 공격자들이 가져가고 있는 건 오로지 크리덴셜 뿐이다. 또한 가짜 도메인 대부분의 IP 국가 코드가 미국인 것으로 나타났다. 하지만 도메인 등록자는 거의 대부분 파키스탄인들이었다. “현재까지 모인 정보만 보면, 같은 인물이나 단체의 소행인 듯합니다. 여러 공격자가 한꺼번에 도메인 스푸핑을 했다고 결론을 내릴만한 증거가 아직 없습니다.”

도메인 스푸핑은 전혀 새로운 방식의 공격법이 아니다. 그러나 이맛은 “스푸핑의 기술과 정교함의 정도도 그렇고, 스푸핑된 도메인의 수도 그렇고, 이전의 도메인 스푸핑 공격과는 비교할 수가 없다”고 말한다. “이렇게까지 정교하고 광범위하게 공격할 수 있는 단체라면, 자원이 든든하다고 볼 수 있습니다. 실제로 이미 충분히 많은 사람들이 이러한 가짜 도메인에 접속해 크리덴셜을 공격자들에게 제출했습니다.”

이맛은 “조사를 더 해나갈 생각”이다. “크리덴셜을 노린 후 이들이 원하는 것이 무엇인지 알기 위해서”라고 한다. “크리덴셜을 탈취해 암시장에 파는 것만으로도 공격이 끝날 수 있습니다. 하지만 공격의 수준을 봤을 때 추가 공격이 충분히 가능하다고 생각합니다. 배후 세력의 완전한 의도를 파악하는 게 현재 조사의 목표입니다.”

이 스푸핑 캠페인이 워낙에 광범위했기 때문인지, 혹은 스푸핑 캠페인이 범죄자들 사이에서 다시 한 번 유행을 하고 있기 때문인지, 다른 보안 업체들에서도 비슷한 내용의 발표가 있었다. 세가섹(Segasec)의 경우 아마존 프라임데이를 기점으로 아마존 환경을 모니터링하고 있었다고 한다. 그 결과 7월 10일과 21일 사이에 4000번의 공격 시도가 있었음을 발견할 수 있었다. 페이팔 고객을 노리고, 아마존과 관련된 도메인을 스푸핑한 공격이었다.

이맛은 “각 기업들은 브랜드를 흉내 낸 가짜 사이트가 있는지 여러 면으로 조사할 필요가 있다”고 권고한다. “블랙리스트 처리가 되지 않은 악성 도메인들을 찾아서 블랙리스트에 넣어야 합니다. 이것이 기업이 할 수 있는 최소한의 고객 보호라고 생각합니다. 완전하지는 않겠지만, 주기적으로 스푸핑 도메인을 검색해보고 접속이 불가능하도록 만드는 노력이 필요합니다.”

소비자들이라면 사이트에 접속해 로그인 등을 하기 전에 URL을 먼저 확인하고, 수상한 점이 없나 검토하는 습관을 가지는 것이 좋다고 한다. “내가 잘 아는 브랜드에서 직접 운영하는 사이트가 맞는지 확인부터 합시다. 그렇지 않으면 크리덴셜 정보를 퍼주게 됩니다.”

3줄 요약
1. 대규모 도메인 스푸핑 공격 캠페인 발견됨. 처음에는 월마트를 사칭한 가짜 도메인이 많이 발견됨.
2. 그 외에도 구인, 구직, 온라인 데이팅, 엔터테인먼트 관련 가짜 사이트들도 대량 발견됨.
3. 현재까지 발견된 것만 540개. 부지런히 찾아서 부지런히 블랙리스트에 올려야 함.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)