나 몰래 이뤄진 카드결제...'악성 도메인'에 답 있다

[인터뷰] 정택진 아카마이코리아 전무

(지디넷코리아=김윤희 기자)인터넷 결제 인프라가 고도화되면서 이제는 일회용비밀번호(OTP) 생성기나 복잡한 패스워드가 필요한 인증서, 여러 차례의 본인확인 절차를 거치지 않고도 온라인 쇼핑이 가능해졌다. 이제 웬만한 사이트에서는 먼저 입력해둔 결제 정보만 있으면 카드 비밀번호 일부만 입력하거나, 모바일 기기에선 지문인증만 하면 결제가 되곤 한다.

요즘엔 예외도 많지만, 여전히 편리함과 보안이 반비례하는 경우가 있다. 인터넷 결제 인프라도 이에 해당하다. 고액 결제에 있어서는 안전장치가 추가돼 있는 편이지만, 그렇지 않은 경우 계정에 접속하고, 계정주의 개인정보 일부만 알고 있다면 자유롭게 결제할 수 있도록 돼 있는 곳들이 많다.

정택진 아카마이코리아 전무는 인터뷰를 통해 최근 이런 허점을 노린 해킹 공격이 늘어나고 있다며, 아카마이 조사 결과 지난 2분기 악성 도메인네임시스템(DNS)에 노출된 기기 비중이 12.3%에 다다랐다고 말했다. 전분기 9.3%보다 높아진 수치다.

정택진 아카마이코리아 전무

이는 자체 시큐어인터넷게이트웨이(SEG) 제품 '엔터프라이즈 스렛 프로텍터(ETP)' 도입 기기 수백만대에서 모니터링되는 DNS 요청을 분석한 결과다. 아카마이는 이를 통해 DNS 쿼리 일 7조건 가량을 분석하고 있다.

DNS는 이용자가 어떤 웹사이트에 접속하려 할 경우, 해당 사이트의 인터넷 주소를 IP 주소로 변환해주는 시스템이다. DNS를 통해 IP 주소를 받아 브라우저가 해당 사이트를 띄우게 된다.

ETP는 요청이 온 DNS, 즉 해당 사이트의 유해성을 확인하기 위해 브라우저와 웹서버 사이에 있는 프록시에서 악성 DNS 여부를 판별하게 된다. 악성일 경우 해당 사이트 접속을 차단한다.

악성 DNS에 노출된 비중이 늘어났다는 건 해커의 공격이 그만큼 증가했다는 것을 뜻한다. 정택진 전무는 "피싱은 시도를 많이 할수록 확률적으로 더 많은 피해자가 나온다"고 설명했다.

차단된 악성 도메인을 분류하면 63%는 맬웨어 또는 랜섬웨어, 32%는 피싱, 5%는 명령제어(C2) 서버와 연관돼 있었다.

이 중 해커가 관리하는 C2 서버 관련 도메인에 접근했을 경우 기기가 해킹으로 손상돼 있을 가능성이 크다는 분석이다. 정 전무는 "이런 경우 C2 서버에 접근하도록 유도하는 악성코드가 이미 동작하고 있었다는 뜻이라며 "이런 기기들은 USB나 사내 네트워크망을 통해 악성코드를 유포할 가능성이 있다"고 했다.

해커가 흔히 보내는 악성 메일 속 URL을 클릭하는 경우가 대표적이다. SEG와 같은 보안 체계가 작동하지 않는 경우 악성 도메인에 그대로 접속하게 되고, 이를 통해 악성코드 등의 공격에 노출될 수 있다.

특히 실제 사이트와 유사한 피싱 사이트를 통해 이용자가 계정정보를 입력하게 한 뒤, 이를 금전적 갈취에 악용하는 피해가 속출하고 있다고 지적했다. 카드 정보, 상품권 등 결제 수단이 등록돼 있는 금융 서비스 관련 사이트와 전자·가전 온라인 스토어 등이 주요 표적이 되고 있다. 아카마이에 따르면 피싱 사이트를 유형별로 분류한 결과 금융 46%, 전자·가전 36%, 미디어 10%, 전자상거래 3%, 데이팅 3% 순으로 큰 비중을 차지했다.

세계 최대 NFT 거래 플랫폼 오픈씨 이용자를 대상으로 한 피싱 공격

결제를 지원하지 않더라도 대중적인 사이트인 경우, 이용자가 동일한 계정정보를 여러 곳에서 사용한다는 점을 악용해 피싱 공격이 등장하고 있다.

이런 피싱 공격은 건수 증가와 더불어 공격 기법도 더욱 진화하는 양상이다. 아카마이는 악성 DNS 관련 페이로드, 소스코드를 격리해 분석한 결과 이같이 진단했다. 특히 피싱 공격 전용 툴킷이 활발하게 사용되는 점을 짚었다.

정 전무는 "툴킷이 없는 경우 피싱 공격을 하려면 특정 웹사이트를 본따 만들고, 이용자가 입력하는 계정 정보를 뺏도록 사이트를 개발해야 한다. 이를 실천할 수 있는 지식이 필요하다"며 "툴킷은 사칭하고자 하는 웹사이트의 URL만 입력하면 피싱 페이지가 만들어주기 때문에 전문 해커가 아니어도 공격이 가능하다"고 설명했다.

아카마이에 따르면 최근 가장 많이 쓰이는 피싱 툴킷은 'Kr3pto'로, 최소 3년 전부터 사용됐으며 악성 도메인 505개와 연계된 것으로 분석됐다. 아카마이는 악성 사이트의 소스코드를 통해 개발자 서명이나 개발자가 누구인지 알 수 있는 '핑거프린트' 값을 보고 이같이 분석했다.

정 전무는 "악성 DNS에 대응하는 보안 솔루션이 많아 대부분은 차단되지만, 솔루션의 성능이나 특징에 따라 알려지지 않은 피싱 공격을 차단할 수 있는지에 대해 차이가 좀 있다"며 "아카마이 ETP는 피싱 툴킷의 핑거프린트 등을 활용해 알려지지 않은 악성 도메인도 차단해준다"고 강조했다.

콘텐츠전송네트워크(CDN) 전문 기업 특성상 이런 처리 속도가 빠르다고도 덧붙였다. 정 전무는 "DNS 요청을 모니터링하는 프록시가 CDN 엣지 서버 가까이에 배포가 돼 있고, 거기에 인텔리전스가 구현돼 있다"며 "사용자에게 얼마나 가까이 위치해 있느냐에 따라 SEG의 성능이 좌우된다"고 했다.

아울러 주요 도메인과 연결된 웹사이트 중 일부만 악성일 경우 아카마이 ETP가 DNS는 차단하지 않되, HTTP을 요청하는 방식으로 악성 URL을 차단할 수 있다고 설명했다.

이용자가 악성 DNS를 통한 공격으로부터 기기를 보호하기 위해선 피싱 사이트인지 확인하는 습관을 길러야 한다고 조언했다. 정 전무는 "악성 도메인은 원본 도메인과 유사하지만, 미묘하게 틀린 부분이 있다"며 "우선 보안 솔루션이 설치돼 있다면 활성화돼 있는지 살펴보고, 피싱 사이트인지 헷갈리는 경우 해당 URL을 검색창에 입력하면 피싱 경험담이 나타나는 경우도 있다"고 말했다.

김윤희 기자(kyh@zdnet.co.kr)