구글이 만든 새 최상위 도메인 이름, 보안 업계 비판의 소리 점점 커져

2023-05-25 14:29
  • 카카오톡
  • 네이버 블로그
  • url
구글이 도메인 이름을 새로 만들었는데 하필이면 .zip과 .mov이다. 일상생활에서 많이 사용되는 파일의 확장자와 정확히 일치하는 것이다. 이 때문에 피싱 공격이 보다 강력해질 수 있다는 우려가 나오면서 비판의 목소리가 커지고 있다.

[보안뉴스 문가용 기자] 두 개의 최상위 도메인 이름이 최근 추가됐는데, 이 때문에 보안 전문가들 사이에서 경고의 소리가 나오는 중이다. 이 도메인 이름은 구글이 5월 초에 발표한 것으로, .zip과 .mov다. 보안 전문가들은 이 이름을 이용해 피싱 공격을 하게 되면 아무리 보안에 예민한 사람이라도 쉽게 속을 수 있다고 주장하고 있다. 비판의 목소리는 계속해서 높아지는 중이다.


[이미지 = gettyimagesbank]

바비 로치(Bobby Rauch)라는 보안 전문가는 이 도메인이 왜 위험한지를 하나의 게시글로 보여주었다. 완전히 똑같아 보이는 URL 두 개를 제시한 건데, 하나는 클릭했을 때 깃허브에 호스팅 된 집 압축파일이 다운로드 된다. 이 경우 URL 끝에 있는 .zip은 새 도메인인 .zip이 아니라 파일 확장자인 .zip이었다. 두 번째 URL 역시 .zip으로 마무리 되어 있고, 누르면 깃허브에 연결된 파일이 다운로드 될 것처럼 생겼다. 하지만 이 경우 .zip은 도메인의 .zip이었고, 클릭하면 다른 사이트로 접속되는 것이었다. 다운로드 받는 링크인 줄 알고 눌렀다가 악성 페이지에 접속하게 될 수 있다는 뜻이다.

보안 업체 도메인툴즈(DomainTools)의 팀 헬밍(Tim Helming)은 “파일 확장자와 똑같은 도메인이 두 개나 생겼다는 건, 피싱 공격자들의 양손에 강력한 무기를 쥐어주었다는 것과 동일한 뜻”이라고 지적한다. “특정 파일을 찾아 다운로드 받으려는 사용자들을 속이기에 딱 좋은 장치가 됩니다. 완전히 똑같이 생긴 URL을 만들 수 있어서 다운로드가 발동될 것인지 다른 사이트로 접속될 것인지 육안으로 구별할 수도 없습니다.”

이번 주 화요일 보안 업체 트렌드마이크로(Trend Micro) 역시 비판에 나섰다. “.zip과 .mov를 활용한 피싱 공격이 훨씬 정교하고 강력해졌으며, 그러므로 이 두 가지 유형의 파일을 자주 다루는 사용자들은 악성 링크에 대해 전에 없는 예민함을 갖춰야 할 것으로 보입니다. 또한 악명 높은 정보 탈취형 멀웨어인 바이다(Vidar)의 경우 Zoom.zip이라는 파일 속에 숨겨져서 유포되는데, 앞으로 이 수법이 더 높은 효과를 보일 전망입니다.”

구글은 도메인 이름이 파일 이름 등과 겹치며 혼란을 야기했던 사례가 전에도 있었다며, 왜 갑자기 자신들이 정한 도메인만 문제가 되는지 이해할 수 없다는 의견이다. “도메인 이름과 파일 확장자가 중복되는 일은 이전에도 있었고, 그래서 이미 안전 장치들이 마련되어 있습니다. 예를 들어 구글 세이프 브라우징(Google Safe Browsing) 기능만 써도 안전할 수 있습니다. .zip과 .mov가 피싱 공격에 활용되는 게 두렵다면 그러한 안전 장치를 사용하면 됩니다.”

보안 업체 노비포(KnowBe4)의 에릭 크론(Erich Kron)의 경우 “실제 이 두 개의 도메인으로 인해 피싱 공격이 의미 있는 수준으로 강력해질 것인지는 아직 아무도 확신할 수 없다”는 의견이다. “하지만 파일 확장자와 똑같은 이름의 도메인을 가졌을 때의 나쁜 점이 좋은 점보다 더 많아 보이는 건 사실입니다.” 그러면서 크론은 “굳이 그런 도메인이 필요한 이유가 무엇인지 쉽게 예상할 수 없고, 개인적으로는 좋은 생각으로 보이지 않는다”고 평하기도 했다.

“이미 .zip 파일에 악성 페이로드를 숨겨 공격하는 사례는 얼마든지 있습니다. 구글이 그걸 모를 리가 없지요. 해커들이 .zip 파일을 좋아한다는 걸 모든 보안 커뮤니티가 아는 상황에서, 구글이나 되는 회사가 굳이 .zip 도메인을 만든다는 걸 좋은 생각이라고 포장해주기가 어려운 게 사실입니다. 설명이 있어야 할 것 같은데, 구글은 계속 침묵만 지키고 있지요.”

아직까지 실제 공격은 없는 수준
구글이 운영하는 멀웨어 탐지 엔진 서비스인 바이러스토탈(VirusTotal)의 경우 이미 이 도메인 이름 때문에 혼동하는 모습을 보여주고 있다. SANS 인스티튜트(SANS Institute)의 연구 및 교육 책임자인 요하네스 울리히(Johannes Ullrich)는 “새로운 도메인이 등장함으로써 엔진이 악성 여부를 탐지하는 데에 오류를 보이는 사례들이 있다”고 설명한다. “다만 아직까지 이 기회를 이용한 피싱 공격이 급증하는 것으로 보이지는 않습니다. 아직 공격자들이 연구 중에 있는 것으로 보입니다.”

트렌드마이크로도 비슷한 의견을 내고 있다. 아직까지 .zip이나 .mov와 같은 새로운 도메인 이름과 관련된 악성 URL을 만드는 활동이 발견되지 않고 있다는 것이다. “아직 초기라서 그럴 수 있습니다. 그러므로 저희는 계속해서 관련 활동이 벌어지고 있는지 모니터링 할 것이며, .zip 및 .mov를 활용한 캠페인이 발견된다면 곧바로 알릴 예정입니다.”

보안 인지 제고와 실천 사항 지키는 것이 여전히 중요
도메인 이름과 파일 확장자 이름을 헷갈리게 적어놓고 피해자를 속이려는 시도를 차단하는 기술은 앞으로 구글을 비롯해 브라우저 개발사들이 개발해 도입할 것으로 예상된다. 하지만 브라우저에 장착된 차단 기술만을 의존해서는 공격을 완전히 막을 수는 없다. 그러므로 사용자 편에서의 인지 제고와 보안 교육은 여전히 중요한 방어 도구가 된다.

헬밍은 “클릭을 함부로 해서는 안 된다는 주의 사항은 더더욱 중요한 것이 되었다”고 말한다. “하지만 구분이 쉽지 않을 테니 기업 입장에서는 당분간 .zip과 .mov 도메인을 아예 활용하지 않는다는 정책을 만들어 방화벽 등에 적용시켜 놓는 것이 좋을 겁니다. 어차피 새로 생긴 도메인이라 활용도가 그리 높을 수가 없습니다. 뚜렷한 방어 대책이 나올 때까지 해당 도메인들은 아예 없는 것처럼 여기고 기업 환경을 만들어가는 것이 안전할 겁니다.”

3줄 요약
1. 최근 구글이 새로 만든 최상위 도메인 이름은 .zip과 .mov.
2. 파일 확장자와 똑같다는 걸 이용했을 때 강력한 피싱 공격 가능할 듯.
3. 구글은 “늘 있던 문제인데 왜 우리한테만 그러느냐”는 입장.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 알티솔루션

    • 인콘

    • 엔텍디바이스코리아

    • 마이크로시스템

    • TVT코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 지오멕스소프트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 다후아테크놀로지코리아

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 비전정보통신

    • 인텔리빅스

    • 경인씨엔에스

    • 세연테크

    • 성현시스템

    • 한결피아이에프

    • 유니뷰코리아

    • 디비시스

    • 프로브디지털

    • 스피어AX

    • 투윈스컴

    • 트루엔

    • 한국씨텍

    • 위트콘

    • 유에치디프로

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 제이슨

    • 라온시큐어

    • 시만텍

    • 유니닥스

    • 사이버아크

    • 한국IBM

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 유투에스알

    • 에이앤티코리아

    • 네티마시스템

    • 태정이엔지

    • 에이티앤넷

    • (주)일산정밀

    • 주식회사 에스카

    • 두레옵트로닉스

    • 넥스텝

    • 모스타

    • 에이앤티글로벌

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 엘림광통신

    • 보문테크닉스

    • 지와이네트웍스

    • 티에스아이솔루션

    • 구네보코리아주식회사

    • 동양유니텍

    • 엔에스티정보통신

    • 엔시드

    • 포커스에이치앤에스

    • 메트로게이트
      시큐리티 게이트

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기