Home > 전체기사
이것은 상상력과 꾸준함의 싸움! 사이버스쿼팅 공격
  |  입력 : 2020-09-03 14:52
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
유명 브랜드의 철자 오류 노린 타이포스쿼팅...흔한 단어 혼합한 콤보스쿼팅
조직 전체가 상상력 발휘해 가짜 사이트 찾아내고 폐쇄시켜야...고객 보호의 전략


[보안뉴스 문가용 기자] 일명 사이버 스쿼터(cybersquatter)라고 하는 공격자들이 한 달 동안 무려 1만 4천여 개의 도메인 이름을 등록했다. 이 중 절반 이상이 악성 공격을 위해 만들어진 것이라고 보안 업체 팔로알토네트웍스(Pal Alto Networks)가 발표했다.

[이미지 = utoimage]


2019년 12월 한 달 동안 등록된 도메인 정보를 수집해 분석한 팔로알토는 1만 4천 개의 ‘사이버스쿼팅’ 도메인을 찾아낼 수 있었다고 한다. 사이버스쿼팅은 타이포스쿼팅과 콤보스쿼팅을 아우르는 용어다. 먼저 타이포스쿼팅은 실제 도메인 이름에서 한두 글자가 빠지거나 추가된 이름을 가진 도메인으로 예를 들어 apple.com을 흉내 낸 appl.com이라든가 naver.com을 흉내 낸 nave.com 등이 있다.

팔로알토는 8개월 동안 이 1만 4천 개의 도메인들에서 벌어지는 활동들을 관찰하고 기록했다. 대부분 피싱 및 사기 공격에 활용되고 있었음을 알 수 있었다. 애플 브랜드를 흉내 낸 타이포스쿼팅 사이트들의 경우, 70%가 악성 공격에 활용되고 있었다. “공격자들은 트래픽의 유행을 민감하게 파악하고, 그에 맞는 사이버스쿼팅 도메인들을 미리미리 준비합니다. 때문에 올해는 코로나와 관련된 가짜 도메인들이 무수히 많이 생성됐죠.”

타이포스쿼팅이 ‘철자 오류’를 파고드는 공격이라면, 콤보스쿼팅(combosquatting)은 유명 브랜드 이름에 흔히 사용될 법한 단어를 합쳐서 도메인을 만드는 방법이다. secure-wellsfargo.org와 같은 도메인이 좋은 사례다. 공격자들은 이 도메인을 통해 크리덴셜 등 민감한 정보를 가로챘다.

결국 8개월의 모니터링 후 악성으로 분류된 곳은 19%였다. 멀웨어를 적극적으로 퍼트리거나 피싱 공격이 노골적으로 진행되는 곳을 말한다. 악성으로 의심되는 곳은 37%였다. 정황상 악의적인 목적으로 개설되었을 것이 뻔하긴 한데, 구체적인 활동이 아직 나타나지 않은 사이트를 말한다. 둘을 합치면 56%가 나온다.

이런 도메인들은 대부분 정식 등록 기관을 통해 등록되는데, 주로 신청자들을 빡빡하게 심사하지 않거나 자동 등록시켜주는 곳들이 선호된다. 인터넷비에스(Internet.bs)라는 곳이 가장 인기가 높은 것으로 조사됐다. 그 다음은 오픈프로바이더(Openprovider)로, 둘 다 무료 등록 서비스를 자동화 시스템으로 제공하는 것으로 나타났다.

이런 ‘의심스러운’ 도메인들 대부분 HTTPS 프로토콜을 활용하고 있는 것으로 나타나기도 했다. HTTPS를 활용할 경우 브라우저에 따라 안전 표시를 나타내는데, 이것이 사람들의 의심을 해소하는 데 큰 도움이 되기 때문이다. 그래서 팔로알토는 “자물쇠 아이콘을 무조건적으로 신뢰해서는 곤란하다”고 강조한다. 인증서의 도메인 이름이 신뢰 가능한지 확인하는 것이 더 나은 방법이라고 팔로알토는 제안했다.

또한 조직 입장에서는 도메인 이름의 여러 가지 버전들을 꾸준히 등록시키는 것이 좋다고 한다. “도메인 방문자들이 입력할 때 낼 수 있는 오타의 가능성을 많이 고려할수록 고객들이 안전해집니다. 또한 이런 식의 가짜 도메인들을 발견하는 즉시 법적 절차를 밟아 폐쇄시키는 활동도 꾸준히 해야 합니다.

팔로알토는 “담당자 한두 명이 모든 오타 가능성을 상상할 수 없다”며 “모든 직원들이 이런 공격법이 있음을 인지하고 가끔 한 번씩 비슷한 도메인 이름을 검색하도록 장려하는 것도 좋은 방법”이라고 말한다. “한 마디로 그물코를 최대한 촘촘하게 만들라는 것이죠. 발견자에게 적당한 보상을 주는 것도 좋겠죠. 이런 ‘오타’의 가능성까지 방어한다는 건 고객들에게 적잖은 신뢰의 요소가 될 겁니다.”

3줄 요약
1. 작년 12월 한 달 사이에만 사이버스쿼팅 사이트 1만 4천 개 등록됨.
2. 이 사이트들의 절반 이상이 8개월 동안 의심스러운 행보를 보이고 있음.
3. 의심스럽게 비슷한 도메인 꾸준히 검색해 폐쇄시키는 활동을 이어가야 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상