페이스북, 애플, 아마존, 넷플릭스 등 유명 도메인의 유관 사이트인 것처럼 위장하거나, 사용자의 타이핑 실수로 유사 사이트에 연결되도록 하는 ‘사이버스쿼팅’ 보안 위협 사례가 발견돼 사용자 주의가 요구된다.

팔로알토 네트웍스(지사장 이희만 https://www.paloaltonetworks.co.kr)는 자사의 사이버 보안 연구소 '유닛42(Unit42)' 발표를 인용, 이같이 전했다.

‘사이버 스쿼팅’은 주로 유명 기업이나 단체 등의 이름과 유사한 인터넷 도메인을 영리 목적으로 선점하는 보안 공격이다. 

과거에는 해당 업체에 고액의 프리미엄을 요구하는 사례로 악용됐으나, 최근 악성 프로그램을 심는 등 보안 위협이 진화하고 있다.

팔로알토 네트웍스 조사에 따르면 2019년 12월에 등록된 스쿼팅 도메인은 1만 3857건으로, 일평균 450여개 수준이고, 이 가운데 2595개(18.59%)는 멀웨어 배포 및 피싱 공격을 일으키는 악성 사이트인 것으로 나타났다.

덧붙여 5104개(36.57%)의 불법 도메인은 사이트 방문자가 높은 위험에 노출되는데, 악성 URL로 연결되거나 다크웹 및 범죄자들에게 인기가 높은 ‘방탄호스팅(bulletproof hosting)’과 관계된 것으로 분석됐다.

사이버스쿼팅의 가장 흔한 수법은 의도적으로 철자 오류를 사용한 타이포스쿼팅(Typosquatting)이다.

apple.com을 흉내 낸 appl.com이라든가 whatsapp.com 대신 whatsalpp.com 등이 그 예.

악용 빈도가 높은 상위 20개 도메인에는 paypal, apple, netfilx, amazon, dropbox 등 소셜 미디어, 금융, 쇼핑 등 민감한 정보를 다루는 수익성 높은(profitable) 타깃이 포함됐다.

악성 도메인의 주요 목적으로는 피싱, 멀웨어 배포, C2(command and control), 재청구 방식의 스캠(Re-bill scam), 잠재적 유해 프로그램(PUP) 배포 등이다.

도메인 스쿼터들이 선호하는 등록 대행기관(registrar)은 무료 등록이 가능한 ‘인터넷비에스(Internet.bs)’ 및 싼 값에 대량 등록이 가능한 ‘오픈프로바이더(Openprovider)’ 등으로 조사됐다.‘

덧붙여 ‘HTTPS’가 보편화되면서 사이버 범죄자들은 자신들의 웹사이트를 합법적으로 위장하기 위해 인증서를 사용하는 사례가 늘고 있는 것으로 나타났다.

사이버스쿼팅에 가장 많이 활용한 인증서로는 무료 SSL 암호화 번들을 제공하는 ‘Cloudflare’로 집계됐으며, 이외에도 ‘AutoSSL’ 서비스를 간편하게 사용할 수 있는 ‘cPanel Inc CA’ 등이 높은 빈도로 사용됐다. 

팔로알토 네트웍스는 유해사이트 차단을 위한  ‘URL 필터링(URL Filtering)’, DNS 트래픽 관리 서비스 ‘DNS 시큐리티(DNS Security)’, 클라우드 기반 위협 탐지 솔루션 ‘와일드파이어(WildFire)’, 선제 방어(Threat Prevention) 플랫폼을 통해 사이버스쿼팅 도메인에 관련된 위협으로부터 기업을 안전하게 보호하고 있다.

사이버스쿼팅 관련 위협에 대한 보다 자세한 사항은 지능형 모니터링 툴 ‘오토포커스(AutoFocus)’(https://www.paloaltonetworks.com/cortex/autofocus)를 통해 확인할 수 있다.

<김동기 기자>kdk@bikorea.net