[보안뉴스 문가용 기자] 두 개의 최상위 도메인 이름이 최근 추가됐는데, 이 때문에 보안 전문가들 사이에서 경고의 소리가 나오는 중이다. 이 도메인 이름은 구글이 5월 초에 발표한 것으로, .zip과 .mov다. 보안 전문가들은 이 이름을 이용해 피싱 공격을 하게 되면 아무리 보안에 예민한 사람이라도 쉽게 속을 수 있다고 주장하고 있다. 비판의 목소리는 계속해서 높아지는 중이다.
[이미지 = gettyimagesbank]
바비 로치(Bobby Rauch)라는 보안 전문가는 이 도메인이 왜 위험한지를 하나의 게시글로 보여주었다. 완전히 똑같아 보이는 URL 두 개를 제시한 건데, 하나는 클릭했을 때 깃허브에 호스팅 된 집 압축파일이 다운로드 된다. 이 경우 URL 끝에 있는 .zip은 새 도메인인 .zip이 아니라 파일 확장자인 .zip이었다. 두 번째 URL 역시 .zip으로 마무리 되어 있고, 누르면 깃허브에 연결된 파일이 다운로드 될 것처럼 생겼다. 하지만 이 경우 .zip은 도메인의 .zip이었고, 클릭하면 다른 사이트로 접속되는 것이었다. 다운로드 받는 링크인 줄 알고 눌렀다가 악성 페이지에 접속하게 될 수 있다는 뜻이다.
보안 업체 도메인툴즈(DomainTools)의 팀 헬밍(Tim Helming)은 “파일 확장자와 똑같은 도메인이 두 개나 생겼다는 건, 피싱 공격자들의 양손에 강력한 무기를 쥐어주었다는 것과 동일한 뜻”이라고 지적한다. “특정 파일을 찾아 다운로드 받으려는 사용자들을 속이기에 딱 좋은 장치가 됩니다. 완전히 똑같이 생긴 URL을 만들 수 있어서 다운로드가 발동될 것인지 다른 사이트로 접속될 것인지 육안으로 구별할 수도 없습니다.”
이번 주 화요일 보안 업체 트렌드마이크로(Trend Micro) 역시 비판에 나섰다. “.zip과 .mov를 활용한 피싱 공격이 훨씬 정교하고 강력해졌으며, 그러므로 이 두 가지 유형의 파일을 자주 다루는 사용자들은 악성 링크에 대해 전에 없는 예민함을 갖춰야 할 것으로 보입니다. 또한 악명 높은 정보 탈취형 멀웨어인 바이다(Vidar)의 경우 Zoom.zip이라는 파일 속에 숨겨져서 유포되는데, 앞으로 이 수법이 더 높은 효과를 보일 전망입니다.”
구글은 도메인 이름이 파일 이름 등과 겹치며 혼란을 야기했던 사례가 전에도 있었다며, 왜 갑자기 자신들이 정한 도메인만 문제가 되는지 이해할 수 없다는 의견이다. “도메인 이름과 파일 확장자가 중복되는 일은 이전에도 있었고, 그래서 이미 안전 장치들이 마련되어 있습니다. 예를 들어 구글 세이프 브라우징(Google Safe Browsing) 기능만 써도 안전할 수 있습니다. .zip과 .mov가 피싱 공격에 활용되는 게 두렵다면 그러한 안전 장치를 사용하면 됩니다.”
보안 업체 노비포(KnowBe4)의 에릭 크론(Erich Kron)의 경우 “실제 이 두 개의 도메인으로 인해 피싱 공격이 의미 있는 수준으로 강력해질 것인지는 아직 아무도 확신할 수 없다”는 의견이다. “하지만 파일 확장자와 똑같은 이름의 도메인을 가졌을 때의 나쁜 점이 좋은 점보다 더 많아 보이는 건 사실입니다.” 그러면서 크론은 “굳이 그런 도메인이 필요한 이유가 무엇인지 쉽게 예상할 수 없고, 개인적으로는 좋은 생각으로 보이지 않는다”고 평하기도 했다.
“이미 .zip 파일에 악성 페이로드를 숨겨 공격하는 사례는 얼마든지 있습니다. 구글이 그걸 모를 리가 없지요. 해커들이 .zip 파일을 좋아한다는 걸 모든 보안 커뮤니티가 아는 상황에서, 구글이나 되는 회사가 굳이 .zip 도메인을 만든다는 걸 좋은 생각이라고 포장해주기가 어려운 게 사실입니다. 설명이 있어야 할 것 같은데, 구글은 계속 침묵만 지키고 있지요.”
아직까지 실제 공격은 없는 수준
구글이 운영하는 멀웨어 탐지 엔진 서비스인 바이러스토탈(VirusTotal)의 경우 이미 이 도메인 이름 때문에 혼동하는 모습을 보여주고 있다. SANS 인스티튜트(SANS Institute)의 연구 및 교육 책임자인 요하네스 울리히(Johannes Ullrich)는 “새로운 도메인이 등장함으로써 엔진이 악성 여부를 탐지하는 데에 오류를 보이는 사례들이 있다”고 설명한다. “다만 아직까지 이 기회를 이용한 피싱 공격이 급증하는 것으로 보이지는 않습니다. 아직 공격자들이 연구 중에 있는 것으로 보입니다.”
트렌드마이크로도 비슷한 의견을 내고 있다. 아직까지 .zip이나 .mov와 같은 새로운 도메인 이름과 관련된 악성 URL을 만드는 활동이 발견되지 않고 있다는 것이다. “아직 초기라서 그럴 수 있습니다. 그러므로 저희는 계속해서 관련 활동이 벌어지고 있는지 모니터링 할 것이며, .zip 및 .mov를 활용한 캠페인이 발견된다면 곧바로 알릴 예정입니다.”
보안 인지 제고와 실천 사항 지키는 것이 여전히 중요
도메인 이름과 파일 확장자 이름을 헷갈리게 적어놓고 피해자를 속이려는 시도를 차단하는 기술은 앞으로 구글을 비롯해 브라우저 개발사들이 개발해 도입할 것으로 예상된다. 하지만 브라우저에 장착된 차단 기술만을 의존해서는 공격을 완전히 막을 수는 없다. 그러므로 사용자 편에서의 인지 제고와 보안 교육은 여전히 중요한 방어 도구가 된다.
헬밍은 “클릭을 함부로 해서는 안 된다는 주의 사항은 더더욱 중요한 것이 되었다”고 말한다. “하지만 구분이 쉽지 않을 테니 기업 입장에서는 당분간 .zip과 .mov 도메인을 아예 활용하지 않는다는 정책을 만들어 방화벽 등에 적용시켜 놓는 것이 좋을 겁니다. 어차피 새로 생긴 도메인이라 활용도가 그리 높을 수가 없습니다. 뚜렷한 방어 대책이 나올 때까지 해당 도메인들은 아예 없는 것처럼 여기고 기업 환경을 만들어가는 것이 안전할 겁니다.”
3줄 요약
1. 최근 구글이 새로 만든 최상위 도메인 이름은 .zip과 .mov.
2. 파일 확장자와 똑같다는 걸 이용했을 때 강력한 피싱 공격 가능할 듯.
3. 구글은 “늘 있던 문제인데 왜 우리한테만 그러느냐”는 입장.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>