보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

돌다리도 두들겨 보고 건너라 – 사이버스쿼팅

2021.03.03

13,358


 

 

 

 

01. 개요


포스트 코로나 시대를 맞이하면서 사회 전반적으로 많은 변화가 생겼다. 기업에서는 기존 사무실로 대표되는  ‘대면(Tact)’ 업무수행 방식에서 ‘비대면(Un-Tact)’ 방식으로 업무 환경이 변화하는가 하면, 금융업계에서는 1년 새 비대면 채널을 통한 예금액이 40% 증가했을 뿐만 아니라 인터넷뱅킹과 모바일뱅킹 이체 건수가 전년 대비 10% 증가하는 등 비대면 거래가 급증하고 있다.

이뿐만이 아니다. 장기간 지속된 사회적 거리 두기로 인해 시공간의 제약이 없는 '온라인 환경'이 급격히 활성화되고 있다. 이제는 '언택트(Untact)'를 넘어서 '온택트(On-tact, 온라인을 통해 관계를 맺음)' 시대가 도래하게 된 것이다. 오프라인에서 주로 소비하는 중장년층이 온라인 쇼핑으로 소비패턴이 변하기 시작했으며, 집에서 운동하는 홈트레이닝(Home+training) 영상의 조회 수가 꾸준히 증가하고 있다. 또한, 가수들은 온라인 콘서트를 개최하는 등 '온택트’는 우리 일상생활에 깊숙이 자리 잡게 되었다.

그러나, 온라인 장이 확대되면 될수록 많은 공격자에게 다양한 공격 면(Attack Surface)이 노출되고 있으며, 그만큼 사이버 위협도 증가할 것으로 예상된다. 또한 하드웨어나 소프트웨어의 취약점을 이용한 해킹보다는 사람의 실수나 부주의를 악용한 사회공학적 공격이 증가하고 있어 온라인 사용자의 피해가 우려된다.

사회공학적 공격에는 대표적으로 '피싱(Phishing)' 공격이 있다. 피싱의 주된 목적은 전화, 문자, 이메일 또는 가짜 사이트를 통해 공격 대상이 현혹할 만한 내용 혹은 진짜라고 착각할만한 내용으로 위장하여 개인 또는 기업의 중요 정보(개인정보, 신용정보 등)를 탈취하거나 금전적 이득, 시스템 마비 등의 공격을 수행하는 것이다. 피싱 공격은 공격 대상에 따라 일반 피싱과 스피어 피싱(Spear-Phishing)으로 구분되며, 공격 기법에 따라 스쿼팅(Squatting), 워터링홀(Watering Hole), 이메일 스푸핑(Email Spoofing, 피싱 메일), 보이스 피싱, 스미싱(Smishing) 등으로 불린다.


▶ 다양한 얼굴의 피싱 공격

일반 피싱을 불특정 다수를 대상으로 공격하는 것에 비해, 스피어 피싱은 특정 기업(조직)의 임직원, 특정 사이트를 방문하는 사용자 등 공격 대상에 대한 정보를 미리 수집한 후 공격이 수행된다. 단순히 개인의 정보 탈취 등 한 개인에게 피해를 주기보다는 기업의 내부문서, 시스템 마비에 중점을 두고 이를 감행하기 전 전조 단계로 많이 활용되는 점이 일반 피싱과 가장 큰 차이점이다.

구분

공격 대상

특징

일반 피싱

불특정 다수

사용자가 현혹할 만한 사회 이슈를 통한 공격  수행
개인의 중요정보(개인정보, 신용정보) 탈취, 금융 사기 등의 목적으로 활용

스피어 피싱

(Spear-Phising)

특정인

공격 대상에 대한 정보를 수집한 후 공격 수행
기업의 내부문서, 시스템 마비 등 APT 공격의 전조 단계로 많이 활용

웨일링

(Whaling)

유명인사

(CEO, 정치인 등)

스피어 피싱의 일종
정부 관료나 기업 내 고위 간부를 대상으로 공격 수행

[표 1] 공격 대상에 따른 피싱 공격 특징


피싱은 △ 웹을 통한 공격, △ 이메일을 통한 공격, △ 전화나 문자를 통한 공격 등 공격 방법이 다양하고 광범위하다. 이번 호에서는 실제 도메인 주소와 유사한 주소를 악용하여 크리덴셜스터핑, 악성코드 유포 등의 2차 공격을 가하는 '사이버스쿼팅'에 대해 알아보고자 한다.

공격 경로

공격 유형

특징

스쿼팅

정상 도메인 주소와 유사한 도메인 주소를 이용하여 정상 도메인에 접속한 것처럼 사용자를 속임

워터링홀

공격 대상이 자주 방문하는 사이트를 수집한 후, 해당 사이트에 악성 스크립트 등을 삽입하여 공격 대상이 해당 사이트를 재방문할 때 악성 행위 수행

이메일

이메일 스푸핑(피싱메일)

이메일 발신자 정보를 위장하여 공격자가 아닌 동료, 거래처 등 타인이 전송한 것처럼 수신자를 속임

복제피싱

과거에 전송된 정상 메일의 내용을 유사하게 만들어 정상 메일인 것처럼 수신자를 속임

보이스/

텍스트

보이스 피싱

전화 또는 음성 메시지를 통해 사용자를 속임

스미싱

문자 메시지를 통해 사용자를 속임


[표 2] 공격 기법에 따른 피싱 공격 특징


02. 사이버 스쿼팅이란?

사이버스쿼팅(Cybersquatting)이란 'Cyber'와 ‘Squat(무단으로 정착하다, 불법 점유하다)’의 합성어로 '금전적 이득(판매)'의 목적으로 유명 기업이나 단체의 이름, 상품명 또는 특징을 가지고 인터넷 주소(이하 도메인)를 정당한 소유자(순리에 의해 해당 주소를 소유할 수 있을 사람이나 단체)보다 먼저 등록하는 행위를 말한다.

실제 미국에서는 1994년 한 개인이 70달러(약 78,000원)에 등록한 ‘www.wallstreet.com’이 1999년 100만 달러(약 11억)에 팔리기도 했으며, 국내 포털 사이트인 '코리아닷컴(www.korea.com)'은 도메인 등록 갱신 시기를 놓친 틈을 타 해당 도메인을 선점한 재미교포에게 500만 달러(약 55억원)에 달하는 비용을 지불하며 도메인을 다시 찾은 사례가 있다. 

구분

사이버스쿼팅 사례

상세 내용

해외

wallstreet.com 사건

한 개인이 70달러(78,000)에 등록한 도메인 www.wallstreet.com’100만 달러(11억원)에 거래된 사건

McDonalds.com 사건

유명 프렌차이즈 맥도날드는 기업의 이름으로된 도메인을 얻고자 한 공립학교에 약 35백 달러(39백만원)를 기부한 사건

국내

korea.com 사건

국내 포털 사이트인 '코리아닷컴(www.Korea.com)'이 도메인 등록 갱신 시기를 놓친 틈을 타 해당 도메인을 선점한 재미교포에게 약 500만 달러(55억원)에 달하는 비용을 지불하며 도메인을 다시 사들인 사건

KT.com 사건

도메인 갱신 기간이 만료된 도메인을 경매하는 사이트에서 한 개인이 KT.com 도메인을 2800 달러(23백만원)에 구입하고 훗날 KT에 약 25천만원 되판매한 사건


[표 3] 사이버스쿼팅 사례


본래 사이버스쿼팅은 기업의 대표 이름이나 상표로 된 도메인을 무단으로 점유한 뒤 기업에 되팔아 금전적인 이득을 편취하는 투기성 행위였다면, 현재는 특정 기업으로 위장한 가짜 도메인에 악성코드를 심어 배포하거나 정보를 탈취하는 등의 악성 행위 수단으로 활용되고 있다.

더욱이 최근 코로나의 여파로 연이은 사회적 거리 두기 격상에 따른 국민의 활동이 위축되면서 국가 DNS(도메인 처리 시스템) 질의 처리량이 전년 대비 약 33.8% 증가하는 등 인터넷 사용량이 폭증함에 따라 사이버스쿼팅에 따른 피해도 지속해서 증가할 것으로 보인다.
이러한 사이버스쿼팅은 다음과 같이 나눌 수 있다. 

1. 사용자의 철자 오기입으로 가짜 도메인에 접속하게 되는 ‘타이포 스쿼팅(Typo-Squatting)’

2. 사용가 흔히 혼동하는 유사 단어 혹은 기업의 대표 단어를 이용하여 가짜 도메인에 접속하는 사용자를 속이는 ‘콤보 스쿼팅(Combo-Squatting)’




[그림1] 국가 DNS 처리량 변화(출처:KISA)


1) 타이포 스쿼팅(Typo-Squatting)

타이포 스쿼팅은 실제 도메인에서 일부 글자가 누락되거나, 순서가 바뀌는 등의 사용자 입력 실수(오타)로 가짜 도메인에 접속되는 것을 말한다. 공격자들은 사용자들이 흔히 실수하는 'String'을 기반으로 가짜 도메인을 등록한 뒤 해당 도메인에 접속한 사용자들 대상으로 크리덴션 스터핑, 악성코드 배포 등의 2차 공격을 가하는 방식이다.

예를 들어 위장할 대상이 'igloosec.com'이라 하면, 사용자가 흔히 유발할 수 있는 오타들은 아래와 같으며 이들은 모두 가짜 도메인이 될 수 있다.

igloo-sec.com
iglooesc.com
egloosec.com
gloosec.com(i 부재)


아래의 그림은 한국 대표 포털사이트인 네이버(www.naver.com)와 그와 유사한 도메인 (nave.com)이다.


[그림2] 좌-네이버(www.naver.com)  /  우-네이버 유사 도메인(nave.com)

※ 유사 도메인은 단순 예시일 뿐이며, 실제 정상적으로 서비스하는 도메인일 수 있음.


2) 콤보 스쿼팅(Combo-Squatting)

콤보 스쿼팅은 실제 도메인과 아주 유사한 단어 혹은 다른 상위 도메인(.com, .co.kr, .org 등)으로 바꾸는 등 사용자가 착각할 만한 가짜 도메인을 만들어 실제 도메인인 것처럼 위장하는 것을 말한다.

예를 들어 위장할 대상이 'igloosec.com'이라 하면, 사용자가 혼동할만한 가짜 도메인들은 아래와 같다.

igloosecurity.com
igloo-TM.com


다음은 실제 한국인터넷진흥원(www.kisa.or.kr) 도메인과 그와 유사한 도메인들(www.kisa.co.kr, kisa.com)이다.


[그림3] 좌-KISA(www.kisa.or.kr)  /  우-KISA 유사 도메인 1(www.kisa.co.kr), 2(kisa.com)

※ 유사 도메인은 단순 예시일 뿐이며, 실제 정상적으로 서비스하는 도메인일 수 있음.


03. 사이버스쿼팅의 공격 시나리오

사이버스쿼팅의 공격 시나리오는 다음과 같다.

1. 공격자는 실제 도메인과 유사한 도메인을 도메인 등록기관에 등록한 뒤 사용자가 실제 도메인으로 착각할 만한 내용으로 피싱 사이트를 만든다.

2. 사용자가 타이핑의 실수 혹은 상위 도메인(.com, co.kr, .org 등)의 혼동으로 공격자가 만든 가짜 도메인에 접속되어 악성코드가 자동으로 다운로드된다.

3. 다운로드된 악성코드는 사용자의 PC에서 실행되어 동일 네트워크에 존재하는 모든 사용자의 PC를 감염시킨다.

 

 

[그림 4] 사이버 스쿼팅 예상 시나리오


위의 시나리오는 가장 간단한 예시이며, 만일 사용자가 회사 네트워크망에서 사이버스쿼팅 공격에 당했다고 가정해보자. 작게는 개인의 pc가 악성코드에 감염되는 것으로 보이나, 이 작은 불씨로 인해 사내 기밀문서가 유출되거나 서버의 악성코드 감염으로 서비스 마비될 수 있으며, 전사 모든 시스템이 랜섬웨어에 감염되는 등 그 피해 규모는 걷잡을 수 없다.


04. 탐지 / 공격 피해 인지 어려움

사이버스쿼팅 공격 과정을 살펴보면 너무나 단순하고 어처구니가 없어 '과연 공격이 성공할 수 있을까?'라는 의구심이 들게 된다. 그러나 팔로알토 네트웍스에 따르면, 매일 등록되는 스쿼팅 도메인은 평균 450여 개이며, 이 중 상당수가 악성코드 유포에 활용되는 것으로 밝혀졌다. 

생각보다 많은 수의 공격과 피해가 발생하는 사이버스쿼팅 공격이 성행할 수밖에 없는 이유, 그리고 예방하기 어려운 이유는 다음 3가지로 추려볼 수 있다.

1) 정식으로 등록된 가짜 도메인

공격자가 무단으로 등록한 가짜 도메인은 대부분 '정식 도메인 등록기관'을 통해 등록된 도메인들이다. 인터넷비에스(Internet.bs), 오픈프로바이더(Openprovider) 또는 가비아(www.gabia.com) 등을 통해 누구나 쉽게 도메인 등록을 신청할 수 있으며, 도메인을 등록하는데 기준이 까다롭지 않은 것 또한 문제점이다. 


2) 대부분 HTTPS 통신

실제 기업의 사이트가 아닌 공격자가 만든 사이트(유사 도메인을 통해 접속한 사이트)는 대부분 안전한 암호화 네트워크 프로토콜로 알려진 HTTPS 통신을 사용하고 있어 정상 사이트인지 악성 사이트인지 일반 사용자가 쉽게 파악하기가 어렵다. HTTP 프로토콜을 사용한 사이트에 방문할 경우, 브라우저 주소창에 '이 사이트는 보안 연결(HTTPS)이 사용되지 않았습니다.'라는 보안 경고 문구가 나타나는 거에 반해 HTTPS의 경우, '자물쇠' 모양과 함께 보안 연결이 사용되었다는 문구가 나타나고 있어 사용자의 의심을 다소 완화되는 것이 문제이다.


3) 악성 행위가 포착되지 않은 경우

대부분의 보안장비는 공격에 대한 패턴을 분석하여 해당 공격에 대한 시그니처 기반 방식과 정상 행위와 다른 행위가 발생하면 탐지하는 행위기반 방식으로 공격을 탐지한다. 따라서, 공격자가 만든 사이트(유사 도메인을 통해 접속한 사이트)에 악성 행위가 존재한다면 접속을 차단하는 등 보안 장비에서 적절한 대응이 가능하지만, 단순히 계정 정보 입력을 요구하여 개인정보를 탈취하거나 물품 허위 구매를 유도하는 도메인인 경우, 보안장비에서는 정상 행위와 악성 행위를 구별하기가 쉽지 않다. 


05. 대응방안

지금까지 사이버스쿼팅 공격에 대해 알아보았다. 사이버스쿼팅은 법에서도 불법으로 정의하고 있으며 '인터넷주소자원에 관한 법률' 제12조(부정한 목적의 도메인이름등의 등록 등의 금지) 제1항, '누구든지 정당한 권원이 있는 자의 도메인이름등의 등록을 방해하거나 부당한 이득을 얻는 등 부정한 목적으로 도메인이름 등을 등록ㆍ보유 또는 사용하여서는 아니 된다.'라고 명시되어 있는 만큼 기업에서는 해당 공격이 악성 행위를 넘어 불법 행위임을 충분히 인지하고 이에 적절히 대응할 수 있는 능력을 갖춰야 할 것이다. 또한, 서비스를 이용하는 사용자는 유사 도메인 접근에 주의하는 등 기업과 사용자 모든 측면에서 유기적으로 관리해야 효과적으로 대응할 수 있다.

▶ 기업 측면

기업에서는 우선, 사용자가 자사 도메인 주소를 입력할 때 유발 가능한 오타들의 목록과 사용자가 쉽게 착각할 만한 문자열을 목록화하여 공격자보다 먼저 유사 도메인을 등록하여 공격의 피해를 방지할 수 있다.
이와 더불어 보안 담당자는 주기적으로 자사 도메인과 유사한 도메인의 존재 여부 파악해야 하며, 만약 유사 도메인에서 악성 행위가 포착된다면, 홈페이지에 해당 내용을 게시하는 등 서비스 이용자들에게 피해가 발생하지 않도록 사전에 알리고, 한국인터넷진흥원(KISA)에 신고하는 등의 보안 대책을 마련해야 한다. 
또한, 악성 행위가 없더라도 사용자가 혼동할만한 기업의 이미지 혹은 상표를 이용한 불법적인 행위가 포착된다면, 인터넷주소분쟁조정위원회에 분쟁 조정을 신청하여 유사 도메인 말소시키는 등 대응이 필요하다. 


대응 방안

정식으로 등록된 유사 도메인이

존재하는 경우

서비스 이용자의

피해가 발생하는 경우

 

 

 

신고

인터넷주소분쟁조정위원회에 분쟁 조정 신청

한국인터넷진흥원(KISA)에 신고

알림

자사 홈페이지에 유사 도메인 목록 게시 및 서비스 이용자의 주의 당부

자사 홈페이지에 피해사례 게시

피해 사용자에게 피해 사실 공지

대응

및 관리

사용자가 혼동할만한 유사도메인을 기업에서 먼저 등록

주기적으로 유사도메인 존재여부 모니터링

악성 행위가 발견된 도메인 폐쇄 요청 및 폐쇄 여부 확인

주기적으로 유사도메인 존재여부 및 악성 행위 모니터링


[표 4] 기업 측면의 대응방안


06. 마무리

현재 코로나로 인해 디지털 경제가 활성화되면서 디지털 전환에 가속도가 붙고 있다. 이로 인해 사이버 범죄가 급증할 것으로 예상되며 피싱 공격과 같은 사회공학적 공격 또한 증가할 것으로 전망된다. 더욱이 재택근무 비율이 높아짐에 따라 임직원을 대상으로 한 피싱메일이 여전히 기승을 부리고 있어 기업과 사용자는 아래의 보안 수칙을 숙지하여 사고를 미연에 방지하길 바란다. 

기업

사용자

보안 장비 탐지 정책 강화

지속적인 모니터링

계정관리 분기별 1회 이상 시행

불법 소프트웨어 점검 반기별 1회 이상 시행

임직원 보안 교육 실시

악성메일 모의훈련 실시

경영진의 지속적인 관심

출처가 불분명하거나 의심스러운
메일
, 첨부파일 열람금지, 링크 실행금지

금융 거래(지불, 계좌 변경) 변경 요청은
발신자에게 별도 확인
(전화 등)

라이선스가 존재하는 SW 사용(불법 SW 사용 금지)

중요 자료, 안전한 저장매체에 주기적으로 백업

백신 프로그램 실시간 검사 활성화

OS 및 모든 소프트웨어, 최신 버전으로 업데이트



07. 참고자료

[1] 비대면 거래 1년새 40% 쑥..."지금이 디지털혁신 골든타임"
[2] 금융위원회, 금융용어사전 ‘사이버스쿼팅'
[3] 인터넷주소분쟁조정위원회, 2016 도메인이름 분쟁백서.pdf
[4] KISA, 200811-KISA-보도자료(언택트 바람, 'kr도메인 접속 건수 역대 최대' 경신).pdf 
[5] 사이버사기 등 피해예방 카드뉴스
https://spam.kisa.or.kr/customer/sub2_R.do?boardNo=1021
[6] Google 세이프 브라우징
https://transparencyreport.google.com/safe-browsing/overview