팔로알토 네트웍스(지사장 이희만)는 자사의 사이버 보안 연구소 유닛42(Unit42) 발표를 인용해 페이스북, 애플, 아마존, 넷플릭스 등의 유명 도메인의 유관 사이트인 것처럼 위장하거나, 사용자의 타이핑 실수로 유사 사이트에 연결되도록 하는 사이버스쿼팅 보안 위협 사례 조사 결과를 발표했다.

사이버 스쿼팅은 주로 유명 기업이나 단체 등의 이름과 유사한 인터넷 도메인을 영리 목적으로 선점하는 행위로, 이전에는 해당 업체에 고액의 프리미엄을 요구하는 사례로 악용되었으나 최근 악성 프로그램을 심는 등 보안 위협이 진화하고 있다.

팔로알토 네트웍스 조사에 따르면 2019년 12월에 등록된 스쿼팅 도메인은 13,857건으로, 일평균 450여개 수준이고, 이 가운데 2,595개(18.59%)는 멀웨어 배포 및 피싱 공격을 일으키는 악성 사이트인 것으로 나타났다. 또 5,104개(36.57%)의 불법 도메인은 사이트 방문자가 높은 위험에 노출되는데, 악성 URL로 연결되거나 다크웹 및 범죄자들에게 인기가 높은 ‘방탄호스팅(bulletproof hosting)’과 관계된 것으로 분석됐다.

사이버스쿼팅의 가장 흔한 수법은 의도적으로 철자 오류를 사용한 타이포스쿼팅(Typosquatting)이다. apple.com을 흉내 낸 appl.com이라든가 whatsapp.com 대신 whatsalpp.com 등이 그 예이다. 악용 빈도가 높은 상위 20개 도메인에는 paypal, apple, netfilx, amazon, dropbox 등 소셜 미디어, 금융, 쇼핑 등 민감한 정보를 다루는 수익성 높은(profitable) 타깃이 포함됐다. 악성 도메인의 주요 목적으로는 피싱, 멀웨어 배포, C2(command and control), 재청구 방식의 스캠(Re-bill scam), 잠재적 유해 프로그램(PUP) 배포 등이다.

도메인 스쿼터들이 선호하는 등록 대행기관(registrar)은 무료 등록이 가능한 ‘인터넷비에스(Internet.bs)’ 및 싼 값에 대량 등록이 가능한 ‘오픈프로바이더(Openprovider)’ 등으로 조사됐다. 또한 HTTPS가 보편화되면서 사이버 범죄자들은 자신들의 웹사이트를 합법적으로 위장하기 위해 인증서를 사용하는 사례가 늘고 있는 것으로 나타났다. 사이버스쿼팅에 가장 많이 활용한 인증서로는 무료 SSL 암호화 번들을 제공하는 Cloudflare로 집계됐으며, 이외에도 AutoSSL 서비스를 간편하게 사용할 수 있는 cPanel Inc CA 등이 높은 빈도로 사용됐다.

팔로알토 네트웍스는 유해사이트 차단을 위한 ‘URL 필터링(URL Filtering)’, DNS 트래픽 관리 서비스 ‘DNS 시큐리티(DNS Security)’, 클라우드 기반 위협 탐지 솔루션 ‘와일드파이어(WildFire)’, 선제 방어(Threat Prevention) 플랫폼을 통해 사이버스쿼팅 도메인에 관련된 위협으로부터 고객들은 안전하게 보호하고 있다. 사이버스쿼팅 관련 위협에 대한 보다 자세한 사항은 지능형 모니터링 툴 오토포커스(AutoFocus)를 통해 확인할 수 있다.

---

[하반기 최대 정보보안&개인정보보호 컨퍼런스 PASCON 2020 개최]

-날짜: 2020년 11월 10일 화요일

-장소: 서울 양재동 더케이호텔서울 2층 가야금홀

-대상: 공공, 금융, 기업 정보보안 및 개인정보보호 실무자

(이외 보안실무와 관련 없는 등록자는 참석이 제한 될 수 있습니다.)

-교육이수: 공무원, 기업 보안의무교육 7시간 인정. CPPG, CISSP 등 교육인정

-전시회: 국내외 최신 보안솔루션 트랜드를 한 눈에

-사전등록: 클릭

-참가기업 모집중: mkgil@dailysecu.com으로 문의

★정보보안 대표 미디어 데일리시큐!★