Home > 전체기사
쇼핑 시즌 대비한 공격자들, 타이포스쿼팅 사이트 대거 만들었다
  |  입력 : 2019-11-18 10:54
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
유명 웹사이트 흉내 낸 가짜 사이트, 정상 TLS 인증서까지 구축해 준비 완료
정상 인증서 어디서 구했나 알아보니 대부분 렛츠인크립트에서 발급돼


[보안뉴스 문가용 기자] 디지털 인증서와 암호화 키의 보호를 전문으로 하는 보안 업체 베나피(Venafi)가 최근 10만 개 이상의 타이포스쿼팅 공격 도메인을 발견했다. 재미있는 건 이 도메인들 전부가 합법적인 TLS 인증서를 보유하고 있었다는 것이다.

[이미지 = iclickart]


타이포스쿼팅 공격은 원래의 정상 도메인의 철자와 비슷한 도메인을 만들어 방문자들을 유도하는 공격 기법이다. 예를 들어 www.boannews.com의 방문자를 유도하기 위해 www.boanews.com을 만들어 누군가 주소창에서 오타 내기를 기다리는 것이다. 이런 가짜 도메인을 타이포스쿼팅 도메인이라고 부른다.

타이포스쿼팅 도메인이 노리고 있는 건 주로 대규모 온라인 쇼핑몰을 방문하는 소비자들이다. 쇼핑 시즌이 다가오고 있기 때문에 사이버 범죄자들이 준비를 하고 있는 것으로 보인다. 베나피는 미국, 영국, 호주, 독일, 프랑스의 대형 온라인 쇼핑몰 20군데를 지정해 유사한 이름을 가진 도메인들을 계속해서 발굴해내면서 위와 같은 결과를 얻어냈다고 한다.

발견된 사이트의 수는 정확히 109,045개다. 전부 합법적인 TLS 인증서를 활용하고 있어서 도메인에서의 작은 철자 차이 외에는 진짜와 가짜를 구분하기가 매우 힘들다. “순수 사이트 수만 셈 해봐도 작년 이맘 때 진행했던 똑같은 조사 결과보다 2배 이상 늘어난 걸 알 수 있었습니다. 작년의 타이포스쿼팅 공격에서 활용된 TLS 인증서는 2만 개 정도였습니다.”

이 10만 9천 개 사이트들 중 84,000여개는 미국의 온라인 쇼핑몰들을 흉내 낸 것들이었다. 이중 5만여 개는 누구나 알만한 유명 사이트 하나를 본따서 만들어졌다. 영국의 경우 가짜 온라인 상거래 사이트를 진짜처럼 보이게 만들기 위해 1만 4천여 개의 인증서가 발행되기도 했었다.

그 외 독일의 쇼핑몰 사이트로 위장하기 위해 사용된 인증서는 7천여 개, 호주에서는 3,500여 개, 프랑스에서는 1,500여 개인 것으로 밝혀졌다.

“인증서까지 갖춘 이 10만 개 사이트들이 전부 해커들의 공격을 위해서 만들어진 건 아닐 겁니다. 타이포스쿼팅 공격을 막기 위해 업체가 일부러 확보한 사이트도 상당 수 섞여 있을 거예요. 그러나 거의 대부분은 공격자들이 이번 쇼핑 시즌을 노려 준비한 것이 거의 분명합니다. 그 둘을 정확히 구별해 집계하지는 않았지만, 이런 사이트들이 10만 개 이상 있다는 것 자체로서 충분히 경고가 된다고 봅니다. 많은 소비자들이 이 소식을 기억하고 있다가, 자신이 접속하는 사이트가 정상이라는 걸 확인해야 할 겁니다.” 베나피의 수석 위협 분석가인 징 시에(Jin Xie)의 설명이다.

2017년만해도 많은 피싱 사이트들이 ‘페이팔’이라는 단어가 포함된 인증서를 보유하고 있었다. 올해도 비슷한 전략이 활용되고 있는 모습이다. 시에는 “배후 세력에 대해 깊이 있는 분석을 하지는 못했지만, 이런 식의 사이트로 유도하는 공격은 주로 피싱의 형태를 띄고 있다”고 설명을 추가했다. “또한 이런 사이트를 통해 공격자들이 얻어가고자 하는 건 주로 크리덴셜이나 멀웨어 배포입니다.”

타이포스쿼팅 공격을 위한 도메인의 60%는 렛츠인크립트(Let’s Encrypt)를 통해 인증서를 무료로 발급받은 것으로 나타났다. 렛츠인크립트는 무료 디지털 인증서를 제공함으로써 웹을 보다 안전한 공간으로 만드는 것을 목표로 운영되고 있으며, 최근 한국에서도 서비스를 런칭했다. 하지만 최근 들어 악의적인 목적으로 점점 더 많이 활용되고 있는 추세다.

베나피 측은 “독일의 타이포스쿼팅 도메인들의 85%는 정상 인증서를 렛츠인크립트에서 발급받았다”고 덧붙였다.

3줄 요약
1. 다가오는 쇼핑 시즌, 공격자들은 타이포스쿼팅 도메인 만들며 대기 중.
2. 도메인 대부분 정상 TLS 인증서 가지고 있어, 정상 사이트처럼 보임.
3. 정상 인증서 대부분 렛츠인크립트에서 발급된 것.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)