Home > 전체기사

유명하면 신뢰한다는 심리적 허점 노린 공격자들, 배너티 링크 노린다

  |  입력 : 2022-05-12 14:44
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
배너티 링크는 기업들이 마케팅에 활용하는 일종의 클라우드 기반 서브 도메인이다. 그런 도메인을 최근 피싱 공격자들이 사칭하기 시작했다. 유명하면 신뢰를 얻기가 쉽다는 점을 노린 것이다. 그래서 유명 클라우드 업체들도 움직이기 시작했다.

[보안뉴스 문가용 기자] 많은 기업들이 만들어 운영하고 있는 ‘배너티 링크(vanity link)’ 혹은 ‘배너티 도메인(vanity domain)’이 피싱 공격의 유용한 재료가 되고 있다는 경고가 나왔다. 데이터 보안 전문 업체인 바로니스(Varonis)가 이러한 현황을 연구, 주사해 보고서 형태로 발표했다.

[이미지 = utoimage]


배너티 링크란 브랜드 마케팅을 위해 만드는 일종의 서브 도메인이다. 위의 바로니스의 조사에서 문제가 되고 있는 건 클라우드 서비스와 연계된 배너티 링크를 말한다. 예를 들어 box.com에 마련된 varonis.box.com이나 zoom.com에 마련된 varonios.zoom.com 같은 식이다. 이렇게 유명한 도메인이 사용되기 때문에 피해자들은 더 쉽게 속는다. 일부 클라우드 서비스들이 생성된 서브 도메인의 진위 여부를 제대로 확인하지 않기 때문에 생기는 현상이라고 바로니스는 설명한다.

바로니스의 보안 국장인 오르 에마뉴엘(Or Emanuel)은 “생각보다 많은 클라우드 서비스들이 생성된 서브 도메인들을 확인하지 않는다”며 “공격자들 입장에서는 포춘 선정 대기업들의 모든 서브 도메인들을 조사하고 연구함으로써 아직까지 만들어지지 않은 도메인 이름을 만들 수 있게 된다”고 설명한다. “그런 연구는 사실 연구라고 이름 붙이기도 민망할 정도로 쉽죠. 어떤 클라우드 서비스가 그런 유명 브랜드의 이름을 포함한 서브 도메인의 생성을 허용하는지만 알아두면 됩니다.”

유명한 브랜드의 이름 뒤에 악성 코드와 피싱 사이트를 숨겨두는 공격자들의 전략은 오래 전부터 잘 알려져 있다. 그러한 브랜드에 대한 일반 사용자들의 높은 신뢰도를 악용하는 전략이다. 특히 .com 외 최고 레벨 도메인을 등록하는 게 그리 어려운 일이 아니기 때문에 공격자들은 꽤나 그럴 듯해 보이는 도메인을 만들 수 있게 된다. 이런 공격을 방어하려면 기업 입장에서는 상상 가능한 모든 도메인 이름을 미리 사두어야 하는데, 이는 현실적인 대책이 아니다.

이번 바로니스의 연구는 “공격자들이 최고 레벨 도메인 외 마케팅용 특수 서브 도메인도 노리기 시작했다”는 것을 지적하고 있다. “최고 레벨 도메인을 활용한 가짜 도메인에 사람들이 어느 정도 내성이 생기기 시작했고, 피싱 공격자들은 다른 방법을 찾아나설 수밖에 없었죠. 그러면서 찾아낸 것 중 하나가 배너티 링크인 듯합니다. 유명 브랜드를 두 개나 활용하기 때문에(사칭되는 기업과 클라우드 업체) 더 그럴 듯해 보인다는 장점을 가지고 있습니다.”

줌이라는 서비스를 공격자들이 활용하면 어떤 일이 벌어질까? 공격자들은 유명 기업의 이름을 따서 웨비나 세션을 하나 만들고, 이 웨비나에 입장하려는 사람들이 여러 가지 질문에 답을 하도록 설정할 수 있다. 에마뉴엘은 “등록 양식을 제출하라고 하거나 파일을 공유하라고 요구할 수 있다”고 설명한다. “기업 신뢰도가 높은 만큼 입장하려는 사람들은 이러한 요구에 별다른 의심 없이 응합니다. 웨비나 페이지나 등록 양식을 정교하게 만들면 만들수록 속기는 더 쉬워지겠죠. 일반 소비자 입장에서는 지금 이 웨비나가 진짜인지 가짜인지 파악하기가 어렵습니다.”

신뢰를 확보한 후라면 공격자들은 온갖 공격을 다 실시할 수 있게 된다. 악성 링크 클릭을 유도하는 것도, 악성 파일 다운로드를 유도하는 것도 모두 쉬워진다. 결국 유명 플랫폼을 이용하고, 유명 브랜드의 도메인을 사칭하는 것 모두 피해자의 신뢰를 얻기 위함인데, ‘유명하다 = 신뢰할 만하다’라는 일반인들의 심리 공식이 깨지지 않는 이상 이와 비슷한 수법들은 계속해서 파생될 것으로 보인다.

2021년 이런 식의 피싱 공격으로 인한 피해액은 70억 달러에 이르렀다고 FBI는 발표한 바 있다. 작년 한 해 FBI로 신고된 모든 사이버 범죄 사건의 38%가 피싱 혹은 소셜 엔지니어링으로 분류되는 공격으로 비롯된 것이었다.

에마뉴엘은 그럴 듯해 보이는 링크 주소라도 늘 확인해 보는 습관을 갖는 것이 중요하다고 강조한다. 그러면서 동시에 “클라우드 서비스 업체들도 URL이 편집되거나 생성될 때 보다 엄격하게 모니터링 할 필요가 있다”고 주장한다. “박스와 줌, 구글도 최근에야 이러한 문제를 해결하기 시작했습니다. 구글 클라우드 서비스를 활용한 사이버 공격은 지금도 엄청나게 인기가 높죠. 즉 이제 막 클라우드 업계가 해결에 나선 문제라고도 볼 수 있습니다. 좀더 많은 클라우드 업체들이 동참해야 할 것입니다.”

에마뉴엘은 “아무리 유명한 브랜드라 할지라도 너무 많은 질문을 한다 싶으면 의심부터 해야 한다”고 권고한다. “유명한 이름이 도메인에 섞여 있다는 사실이 신뢰의 근거가 될 수 없습니다. 현재 우리 무의식 속에 있을 수 있는 ‘유명하면 신뢰한다’를 의식적으로 없애는 노력이 필요합니다.”

3줄 요약
1. 유명 브랜드 사칭하는 공격자들, 최근엔 마케팅용 배너티 도메인 악용.
2. 배너티 도메인은 유명 브랜드를 두 개나 활용할 수 있기 때문에 피해자 속이기에 더 쉬움.
3. 클라우드 업체의 보다 꼼꼼한 도메인 모니터링이 필요한 시점.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 다크웹을 통한 데이터 및 개인정보 유출이 빈번하게 발생하고 있습니다. 다크웹에 대해 아시거나 접속해 보신 적이 있으신가요?
다크웹에 대해 들었지만, 접속해본 적은 없다
1~2번 접속해본 적 있지만, 활용방법은 잘 모른다.
종종 들어가서 업무에 활용하기도 한다.
가끔 전문가를 통해 접속해서 유출 정보를 찾는다.
기타(댓글로)