Home > 전체기사
초록색 자물쇠가 브라우저에 뜨면 안전하다?
  |  입력 : 2019-12-10 20:07
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
렛츠 인크립트 등 유료 인증서 사이트에서 합법적으로 인증서 구하는 범죄자들
연말연시에 정상 인증서 갖춰서 사용자들 속이는 공격 행위 성행해


[보안뉴스 문가용 기자] 브라우저의 상태가 안전하다는 표시인 ‘초록색 자물쇠’ 아이콘이 오히려 덫이 되고 있다는 소식이다. 그래서 구글은 이미 크롬 브라우저에서 초록색 자물쇠 아이콘을 삭제한 상태다. 이 표시가 떴다고 해서 ‘안전하다’는 뜻이 되는 건 아니다.

[이미지 = icllickart]


보안 업체 놈실드(NornShield)에 의하면 2019년 등록된 잠재적 피싱 도메인들의 수는 2018년의 그것보다 11% 증가한 상태라고 한다. 게다가 암호화를 위한 정상적인 인증서들까지 갖춘 피싱 도메인의 수는 세 배도 넘게 증가했다.

놈실드의 CSO인 밥 말리(Bob Maley)는 “해가 가고 달이 갈수록 피싱 공격은 점점 더 공격적이고 노골적으로 기승을 부리고 있다”고 강조한다. “악성 행위자들은 여러 전자상거래 사이트들을 복제해 피싱 도메인들을 등록시키고 사이트를 만듭니다. 그래서 조금만 주의를 기울이지 않으면 깜빡 속기 쉽습니다.”

게다가 이 피싱 사이트들이 초록색 자물쇠 아이콘까지 표시하고 있으니, 소비자들은 더욱 속기가 쉽다. “인증서가 있으니 멀쩡한 자물쇠를 사이트에 나타낼 수 있는 겁니다. 소기업 사업자들이나 일반 개개인들이 무료로 편안하게 사용하라고 만들어진 인증서 발급 서비스인 렛츠 인크립트(Let’s Encrypt)와 같은 곳에서 합법적인 인증서를 받을 수 있다는 게 문제의 근원입니다.”

매년 이맘 때면 사이버 범죄자들이 타이포스쿼팅(typosquatting) 사이트를 대대적으로 등록한다. “정상 도메인에 비해 철자 하나가 틀린 도메인을 말합니다. 아니면 글자 한두 개를 비슷하게 생긴 특수문자로 대체시킨 도메인도 있습니다. 이런 사이트들은 자세히 보면 틀린 구석을 알아챌 수 있는데, 초록색 자물쇠 때문에 대부분 사용자들이 자세히 보지 않죠.”

심지어 일부러 한두 글자를 틀리게 해야만 피싱 사이트가 완성되는 건 아니다. 보안 업체 바벨 스트리트(Babel Street)가 알아낸 바에 의하면 “가고자 하는 URL을 정확하게 타이핑 하는 사용자들도 피싱 사이트로 안내될 수 있다”고 한다. “예를 들어 metropolitanbaptistchurch.org라는 사이트에 접속하는 사람들을 각종 마약 판매 사이트로 우회시킨 경우도 있었죠. URL 우회 공격 기술을 제대로 사용한다면, 사용자들은 안 속기가 힘듭니다.”

이런 각종 범죄용 사이트들은 현재 기하급수적으로 늘어나고 있다. 놈실드는 2019년 말까지 전 세계 최고의 전자상거래 사이트 50개를 흉내 낸 피싱 도메인이 9천개 가까이 만들어질 것이라고 예측하고 있다. “연말에는 이런 식의 공격이 큰 효과를 보여줍니다. 공격자들이 괜히 이 맘 때에 가짜 사이트 만드는 데 열을 올리는 게 아닙니다.”

그렇다면 인터넷 서핑을 해야만 하는 일반 소비자 개개인과 기업들은 이런 공격을 어떻게 막아낼 수 있을까? 놈실드는 “도메인 등록 기관의 기록을 참고해가며 방화벽이나 안티멀웨어 규칙을 새롭게 설정하라”고 권고한다. “사이버 범죄자들은 가격 효율성에 미친 부류입니다. 무료와 저렴한 서비스를 극도로 선호하죠. 도메인 등록도 무료로 해주는 곳을 좋아합니다. 그래서 고대디(Go-Daddy)와 같은 세계 1위 도메인 등록소가 전체 피싱 사이트의 30%를 차지하고 있는 것이죠.”

일반 사용자들이라면 두 가지 실천 수칙이 있다. 연말연시 홍보 메일에 덧붙은 URL을 클릭하지 않는 것이다. 특히 거래 조건이 좋아 보이면 좋아 보일수록 클릭을 삼가야 한다. 정말 괜찮은 조건이 있다면 차라리 해당 쇼핑 사이트에 직접 타이핑 해서 들어가는 편이 안전하다.

3줄 요약
1. 연말연시에 각종 피싱 사이트 난립하고 있음.
2. 요즘 공격자들은 정상 인증서까지 취득해서 초록색 자물쇠 아이콘을 보유함.
3. 따라서 초록색 자물쇠 아이콘이 있다고 해서 무조건 안심하면 안 됨.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)