[디지털경제뉴스 박시현 기자] 팔로알토 네트웍스는 페이스북, 애플, 아마존, 넷플릭스 등의 유명 도메인의 유관 사이트인 것처럼 위장하거나, 사용자의 타이핑 실수로 유사 사이트에 연결되도록 하는 사이버스쿼팅 보안 위협 사례 조사 결과를 발표했다.
사이버 스쿼팅은 주로 유명 기업이나 단체 등의 이름과 유사한 인터넷 도메인을 영리 목적으로 선점하는 행위로, 이전에는 해당 업체에 고액의 프리미엄을 요구하는 사례로 악용됐으나 최근 악성 프로그램을 심는 등 보안 위협이 진화하고 있다.
팔로알토 네트웍스 조사에 따르면 2019년 12월에 등록된 스쿼팅 도메인은 13,857건으로, 일평균 450여개 수준이고, 이 가운데 2,595개(18.59%)는 멀웨어 배포 및 피싱 공격을 일으키는 악성 사이트인 것으로 나타났다.
또 5,104개(36.57%)의 불법 도메인은 사이트 방문자가 높은 위험에 노출되는데, 악성 URL로 연결되거나 다크웹 및 범죄자들에게 인기가 높은 ‘방탄호스팅(bulletproof hosting)’과 관계된 것으로 분석됐다.
사이버스쿼팅의 가장 흔한 수법은 의도적으로 철자 오류를 사용한 타이포스쿼팅(Typosquatting)이다. apple.com을 흉내 낸 appl.com이라든가 whatsapp.com 대신 whatsalpp.com 등이 그 예이다.
악용 빈도가 높은 상위 20개 도메인에는 paypal, apple, netfilx, amazon, dropbox 등 소셜 미디어, 금융, 쇼핑 등 민감한 정보를 다루는 수익성 높은 타깃이 포함됐다.
악성 도메인의 주요 목적은 피싱, 멀웨어 배포, C2(command and control), 재청구 방식의 스캠(Re-bill scam), 잠재적 유해 프로그램(PUP) 배포 등이다.
도메인 스쿼터들이 선호하는 등록 대행기관은 무료 등록이 가능한 ‘인터넷비에스(Internet.bs)’ 및 싼 값에 대량 등록이 가능한 ‘오픈프로바이더(Openprovider)’ 등으로 조사됐다. 또한 HTTPS가 보편화되면서 사이버 범죄자들은 자신들의 웹사이트를 합법적으로 위장하기 위해 인증서를 사용하는 사례가 늘고 있는 것으로 나타났다.
사이버스쿼팅에 가장 많이 활용한 인증서로는 무료 SSL 암호화 번들을 제공하는 Cloudflare로 집계됐으며, 여기에다 AutoSSL 서비스를 간편하게 사용할 수 있는 cPanel Inc CA 등이 높은 빈도로 사용됐다.
팔로알토 네트웍스는 유해사이트 차단을 위한 ‘URL 필터링’, DNS 트래픽 관리 서비스 ‘DNS 시큐리티’, 클라우드 기반 위협 탐지 솔루션 ‘와일드파이어’, 선제 방어 플랫폼을 통해 사이버스쿼팅 도메인에 관련된 위협으로부터 고객들은 안전하게 보호하고 있다.
