글로벌 보안 기업 팔로알토 네트웍스(Palo Alto Networks, 지사장 이희만)는 자사의 사이버 보안 연구소 유닛42(Unit42) 발표를 인용해 페이스북, 애플, 아마존, 넷플릭스 등의 유명 도메인의 유관 사이트인 것처럼 위장하거나, 사용자의 타이핑 실수로 유사 사이트에 연결되도록 하는 사이버스쿼팅 보안 위협 사례 조사 결과를 발표했다.

사이버 스쿼팅은 주로 유명 기업이나 단체 등의 이름과 유사한 인터넷 도메인을 영리 목적으로 선점하는 행위로, 이전에는 해당 업체에 고액의 프리미엄을 요구하는 사례로 악용되었으나 최근 악성 프로그램을 심는 등 보안 위협이 진화하고 있다.

팔로알토 네트웍스 조사에 따르면 2019년 12월에 등록된 스쿼팅 도메인은 13,857건으로, 일평균 450여개 수준이고, 이 가운데 2,595개(18.59%)는 멀웨어 배포 및 피싱 공격을 일으키는 악성 사이트인 것으로 나타났다. 또 5,104개(36.57%)의 불법 도메인은 사이트 방문자가 높은 위험에 노출되는데, 악성 URL로 연결되거나 다크웹 및 범죄자들에게 인기가 높은 ‘방탄호스팅(bulletproof hosting)’과 관계된 것으로 분석됐다.

사이버스쿼팅의 가장 흔한 수법은 의도적으로 철자 오류를 사용한 타이포스쿼팅(Typosquatting)이다. apple을 흉내 낸 appl이라든가 whatsapp 대신 whatsalpp 등이 그 예이다. 악용 빈도가 높은 상위 20개 도메인에는 paypal, apple, netfilx, amazon, dropbox 등 소셜 미디어, 금융, 쇼핑 등 민감한 정보를 다루는 수익성 높은(profitable) 타깃이 포함됐다. 악성 도메인의 주요 목적으로는 피싱, 멀웨어 배포, C2(command and control), 재청구 방식의 스캠(Re-bill scam), 잠재적 유해 프로그램(PUP) 배포 등이다.

도메인 스쿼터들이 선호하는 등록 대행기관(registrar)은 무료 등록이 가능한 ‘인터넷비에스(Internet.bs)’ 및 싼 값에 대량 등록이 가능한 ‘오픈프로바이더(Openprovider)’ 등으로 조사됐다. 또한 HTTPS가 보편화되면서 사이버 범죄자들은 자신들의 웹사이트를 합법적으로 위장하기 위해 인증서를 사용하는 사례가 늘고 있는 것으로 나타났다. 사이버스쿼팅에 가장 많이 활용한 인증서로는 무료 SSL 암호화 번들을 제공하는 Cloudflare로 집계됐으며, 이외에도 AutoSSL 서비스를 간편하게 사용할 수 있는 cPanel Inc CA 등이 높은 빈도로 사용됐다.

팔로알토 네트웍스는 유해사이트 차단을 위한 ‘URL 필터링(URL Filtering)’, DNS 트래픽 관리 서비스 ‘DNS 시큐리티(DNS Security)’, 클라우드 기반 위협 탐지 솔루션 ‘와일드파이어(WildFire)’, 선제 방어(Threat Prevention) 플랫폼을 통해 사이버스쿼팅 도메인에 관련된 위협으로부터 고객들은 안전하게 보호하고 있다. 사이버스쿼팅 관련 위협에 대한 보다 자세한 사항은 지능형 모니터링 툴 오토포커스(AutoFocus)를 통해 확인할 수 있다.

전자신문인터넷과 넥스트데일리는 오는 10월 30일 오전 10시부터 4시 30분까지 “2020 뉴노멀 시대의 클라우드 전방위 보안 전략” 온라인 컨퍼런스를 개최한다. 클라우드 보안 트렌드와 아울러 다양한 클라우드 플랫폼과 보안 분야를 주도하고 있는 글로벌 기업들의 기술과 솔루션 활용법이 사례별로 자세히 소개된다.

행사 관련 자세한 내용과 무료 참관 신청은 관련 페이지(https://conference.etnews.com/conf_info.html?uid=161)에서 확인할 수 있다.

이향선기자 hslee@nextdaily.co.kr