.jpg)
최근 발견된 브랜드 사칭 사이트들에 숨겨진 심리적 요소들이 놀랍다. 이들은 꽤나 교묘하게 움직임으로써 각종 방어 장치를 피해갈 뿐 아니라 의심의 가능성도 최소화시킨다. 얼마 전 분석된 신발 브랜드 사칭 사이트들을 통해 최근 트렌드를 알아보자.
[보안뉴스 문정후 기자] 온라인 사기꾼들이 사람들을 속이는 기술을 점점 날카롭게 다듬고 있고, 눈에 띄게 향상되고 있기도 하다. 피싱을 좀 더 잘 하는 수준이 아니다. 온갖 사기 기술을 다 발휘하고 있다. 이에 보안 업체 얼루어시큐리티(Allure Security)는 최근 온라인 사기꾼들이 발휘하는 수법들 중 브랜드 사칭 웹사이트들이 어떤 식으로 만들어지고 활용되는지를 조사해 발표했다.
[이미지 = utoimage]
얼루어 측이 분석한 건 2021년 끄트머리에 발견한 103개 사이트들이다. 유명 신발 브랜드들을 흉내 내어 만들어진 사이트들이었다. 그 결과 연구원들은 한 가지 흥미로운 트렌드를 발견할 수 있었다. 기존의 ‘유명 브랜드 흉내’와는 결이 달랐다. 왜냐하면 기존 ‘사칭 사이트’는 진짜 사이트를 최대한 똑같이 흉내 내는 것에 초점을 맞추고 있었지만, 얼루어가 분석한 사이트들은 그렇지 않았기 때문이다.
얼루어의 CEO 조시 숄(Josh Shaul)은 “한 유명 신발 회사가 고객들을 보호하기 위해 자신들을 사칭하는 사이트들을 찾아서 조치를 취해달라고 의뢰를 한 것에서부터 조사가 시작됐다”고 설명한다. “원래는 진짜를 흉내 내는 가짜들이 주를 이루는 게 정상인데, 저희가 조사를 시작하고 얻어낸 결과들은 사뭇 달랐습니다. 실제 점주들이 자신들만의 브랜드와 사이트를 만들어내는 것처럼 화려하게 꾸며져 있었거든요.” 무슨 일이 일어나고 있던 것일까?
템플릿
숄에 따르면 이번에 얼루어 측이 분석한 사칭 웹사이트들은 처음에 옵티멀(Optimal)이라는 이름의 템플릿으로 제작되었다고 한다. 옵티멀을 개발한 회사 측은 옵티멀에 대해 “다목적 전자상거래 부트스트랩 5 HTML 템플릿”이라고 설명한다. 미리 만들어진 24개의 홈페이지 변형 모드들이 탑재되어 있으며, 일반적인 도소매 기업들이 웹사이트 제작에 꼭 넣을만한 내부 페이지들도 여러 개 포함되어 있다고 한다. 구매 가격은 약 14달러이다. 이 템플릿은 정상적으로 유통되는 합법적 도구다.
[이미지 = 얼루어시큐리티]
사기 사이트 Inov8japan.com의 초기 모습
얼루어 측이 확인한 사칭 사이트의 초기 모습은 옵티멀에서 제공하는 데모용 템플릿과 거의 똑같다. 이미지나 구도, 전체적 형태가 하나도 다르지 않다. 심지어 ‘옵티멀’이라는 글자 - 원래 이 자리에는 고객들이 각자의 브랜드 이름을 적어 넣어야 하는 곳이다 -도 바뀌지 않은 채다. 공격자들이 도무지 어떤 누구를 사칭하려고 하는지가 사이트에서는 하나도 드러나지 않는다.
[이미지 = 얼루어시큐리티]
완성된 사기 사이트 Inov8japan.com
초기 사이트가 나타나고서 약 2주 후, 완성된 사칭 사이트가 등장했다. 옵티멀의 플랫폼을 그대로 가져다 쓴 초기의 모습은 사라지고 inov-8이라는 브랜드를 꽤나 잘 흉내 낸 사이트가 완성됐다. 진짜 inov-8 웹사이트에서 사용되는 이미지들도 여러 장 사용됐다.
[이미지 = 얼루어시큐리티]
처음부터 이렇게 만들 줄 아는 공격자였다면, 왜 처음에는 피싱 사이트 혹은 사기 사이트라고 정의하기도 민망한 수준의 결과물을 내놓고, 뒤늦게 정식 사칭 사이트를 런칭한 것일까? 숄은 “아마도 브랜드 사칭 공격자들을 감시하고 잡아내는 방어 시스템을 회피하려고 그런 것일 듯하다”고 추측한다.
“공격자들은 첫 사이트 전체에 자신들이 사칭하는 기업의 제품 이름들을 도배해 놓았습니다. 검색을 통해 해당 기업의 고객들이 유입되도록 한 것이죠. 하지만 유입되어 들어가면 그 브랜드와 전혀 다른 사이트가 나타나게 됩니다. 옵티멀의 템플릿을 그대로 본 딴 것이니까요. 오히려 그래서 위험한 사이트로 분류가 되지 않을 수도 있습니다. 그렇게 조금 시간을 보낸 후에 본격적인 사칭 공격을 시작하는 것이라고 봅니다.”
사기 사이트 vansforsaleuk.net의 초기 모습
방금 전에 살펴 본 Inov8japan.com 사이트처럼 초기에는 이 vansforsaleuk.net 사이트도 옵티멀의 데모를 수정도 없이 그대로 가져온 모습을 하고 있다. 반스의 여러 제품들이 목록으로 쭉 나와 있다는 것만이 데모 템플릿과의 유일한 차이다.
[이미지 = 얼루어시큐리티]
완성된 사기 사이트 Vansforsaleuk.net
얼마 간 시간이 지나고 완성된 반스의 사칭 사이트는 실제 반스가 진행하는 마케팅 및 광고의 이미지와 느낌을 고스란히 채용하고 있다. 이 사례에서 눈여겨 봐야 할 것은 도메인 이름이다. ‘영국 반스 판매처’라는 느낌의 이름인 vasnforsaleuk.net은 실제 반스라는 브랜드에서 만들었음직한 느낌을 준다. 실제 브랜드의 영국 지부에서 만들었을 것 같고, .net이라는 최고 레벨 도메인까지 사용했으니 더더욱 의심하기 힘들다. 하지만 원래 반스 영국 판매처의 사이트에 자주 들어가 보았던 사람이라면 도메인이 .net이 아니라 co.uk라는 것을 알 수 있었을 것이다.
[이미지 = 얼루어시큐리티]
진화된 사기 사이트들의 현지화
반스를 흉내 낸 사기 사이트 운영자들은 UAE에 있는 사용자들을 노린 반스 쇼핑 사이트까지도 제작했다. 위에서 본 반스 사칭 사이트의 예시에서처럼 초반에는 옵티멀 템플릿을 그대로 사용한 사이트가 운영됐었다. UAE 사용자들을 노리는 사이트로 진화될 것임에도 초기에는 옵티멀의 영어가 그대로 사용되기도 했다. 하지만 그 준비 기간이 끝나고, 공격자들은 영국 사용자들을 노린 사기 사이트와 거의 비슷한 느낌으로 이 사이트도 진화시켰다. 다만 모든 글자들이 아랍어로 작성되어 있다는 것에 큰 차이가 있다.
[이미지 = 얼루어시큐리티]
사기 사이트의 진화가 반드시 제대로 된 것만은 아니다
스위스의 신발 브랜드인 조야(Joya)를 사칭한 사이트 중 하나인 joyajapan.com은 초기에도 진화를 끝낸 후의 모습과 그리 다르지 않았다. 초기에는 사이트 언어가 영어로 되어 있었고, 진화 끝에 일본어로 바뀌긴 했는데, 사실 그게 전부였다. 변화를 마쳤음에도 조야 브랜드 대신 옵티멀의 로고가 그대로 박혀 있기도 하다. 도무지 어떤 생각으로 이런 사이트를 만들게 되었는지 추측할 수도 없을 정도로 엉망이다.
그래픽을 섞어 색다른 느낌 내기
반스의 스위스 팬들을 노린 사칭 사이트도 등장했다. 도메인 이름은 vansschuheschweiz.com이었다. 최고 레벨 도메인인 .com을 사용하고 있다. 사용자들의 신뢰감을 얻어내기 위한 노력이다. 하지만 반스 스위스에서 사용하는 도메인은 vans.ch이다. .ch는 스위스의 공식 최고 레벨 도메인 중 하나다.
이 사이트에서 볼 수 있는 건 공격자들이 여러 그래픽 요소들을 혼합하고 섞어놓았다는 것이다. 그렇기 때문에 다른 반스 사칭 사이트들과 사뭇 다른 결과물이 나오기도 한다. 초기 모습도 그렇고, 후기 모습도 그렇고, 다른 사기 사이트들과는 또 다른 느낌을 준다.
[이미지 = 얼루어시큐리티]
실제 웹사이트와 사칭 웹사이트의 비교
이제는 실제 사이트와 가짜 사이트를 비교해 보자. 헤이듀드(Hey Dude)라는 브랜드다. 위가 사기 사이트, 아래가 진짜 사이트다. 무작정 진짜를 따라하지 않았다는 게 눈에 띈다. 심지어 회사의 실제 로고도 사용하지 않고 있다. 다만 실제 제품 사진이 등장하긴 하고, 그렇기 때문에 제품 사용자들은 사이트에 큰 의심을 갖지 않게 된다. 실제 다른 사이트(진짜 사이트)가 존재한다는 걸 알아도, 똑같이 흉내 낸 게 아니라 느낌만 가졌기 때문에 해당 브랜드가 운영하는 또 다른 사이트로 받아들이기도 한다.
[이미지 = 얼루어시큐리티]
[이미지 = 얼루어시큐리티]
이런 사이트들을 운영해서 공격자들이 얻어가는 건 무엇일까? 숄은 “현재까지 조사한 바에 의하면 고객들에게 주문을 받고 물건은 배달하지 않는 식의 사기 공격을 하기 위한 플랫폼으로 보인다”고 설명한다. 여러 신발 브랜드를 사칭하고, 고객들이 신발을 사기 위해 물건을 고르고 온라인 결제까지 진행하게 함으로써 돈이 자신들에게 입금되도록 하는 것이다. “그러면 고객은 지불한 돈을 고스란히 잃을 뿐만 아니라, 그 브랜드의 제품을 온라인에서 구매하지 않을 수도 있습니다. 사칭 공격 때문에 멀쩡한 브랜드가 고객을 잃고, 고객은 돈을 잃게 되는 겁니다.”
글 : 에리카 치코우스키(Ericka Chickowski), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 온라인 사기꾼들이 사람들을 속이는 기술을 점점 날카롭게 다듬고 있고, 눈에 띄게 향상되고 있기도 하다. 피싱을 좀 더 잘 하는 수준이 아니다. 온갖 사기 기술을 다 발휘하고 있다. 이에 보안 업체 얼루어시큐리티(Allure Security)는 최근 온라인 사기꾼들이 발휘하는 수법들 중 브랜드 사칭 웹사이트들이 어떤 식으로 만들어지고 활용되는지를 조사해 발표했다.
[이미지 = utoimage]
얼루어 측이 분석한 건 2021년 끄트머리에 발견한 103개 사이트들이다. 유명 신발 브랜드들을 흉내 내어 만들어진 사이트들이었다. 그 결과 연구원들은 한 가지 흥미로운 트렌드를 발견할 수 있었다. 기존의 ‘유명 브랜드 흉내’와는 결이 달랐다. 왜냐하면 기존 ‘사칭 사이트’는 진짜 사이트를 최대한 똑같이 흉내 내는 것에 초점을 맞추고 있었지만, 얼루어가 분석한 사이트들은 그렇지 않았기 때문이다.
얼루어의 CEO 조시 숄(Josh Shaul)은 “한 유명 신발 회사가 고객들을 보호하기 위해 자신들을 사칭하는 사이트들을 찾아서 조치를 취해달라고 의뢰를 한 것에서부터 조사가 시작됐다”고 설명한다. “원래는 진짜를 흉내 내는 가짜들이 주를 이루는 게 정상인데, 저희가 조사를 시작하고 얻어낸 결과들은 사뭇 달랐습니다. 실제 점주들이 자신들만의 브랜드와 사이트를 만들어내는 것처럼 화려하게 꾸며져 있었거든요.” 무슨 일이 일어나고 있던 것일까?
템플릿
숄에 따르면 이번에 얼루어 측이 분석한 사칭 웹사이트들은 처음에 옵티멀(Optimal)이라는 이름의 템플릿으로 제작되었다고 한다. 옵티멀을 개발한 회사 측은 옵티멀에 대해 “다목적 전자상거래 부트스트랩 5 HTML 템플릿”이라고 설명한다. 미리 만들어진 24개의 홈페이지 변형 모드들이 탑재되어 있으며, 일반적인 도소매 기업들이 웹사이트 제작에 꼭 넣을만한 내부 페이지들도 여러 개 포함되어 있다고 한다. 구매 가격은 약 14달러이다. 이 템플릿은 정상적으로 유통되는 합법적 도구다.
[이미지 = 얼루어시큐리티]
사기 사이트 Inov8japan.com의 초기 모습
얼루어 측이 확인한 사칭 사이트의 초기 모습은 옵티멀에서 제공하는 데모용 템플릿과 거의 똑같다. 이미지나 구도, 전체적 형태가 하나도 다르지 않다. 심지어 ‘옵티멀’이라는 글자 - 원래 이 자리에는 고객들이 각자의 브랜드 이름을 적어 넣어야 하는 곳이다 -도 바뀌지 않은 채다. 공격자들이 도무지 어떤 누구를 사칭하려고 하는지가 사이트에서는 하나도 드러나지 않는다.
[이미지 = 얼루어시큐리티]
완성된 사기 사이트 Inov8japan.com
초기 사이트가 나타나고서 약 2주 후, 완성된 사칭 사이트가 등장했다. 옵티멀의 플랫폼을 그대로 가져다 쓴 초기의 모습은 사라지고 inov-8이라는 브랜드를 꽤나 잘 흉내 낸 사이트가 완성됐다. 진짜 inov-8 웹사이트에서 사용되는 이미지들도 여러 장 사용됐다.
[이미지 = 얼루어시큐리티]
처음부터 이렇게 만들 줄 아는 공격자였다면, 왜 처음에는 피싱 사이트 혹은 사기 사이트라고 정의하기도 민망한 수준의 결과물을 내놓고, 뒤늦게 정식 사칭 사이트를 런칭한 것일까? 숄은 “아마도 브랜드 사칭 공격자들을 감시하고 잡아내는 방어 시스템을 회피하려고 그런 것일 듯하다”고 추측한다.
“공격자들은 첫 사이트 전체에 자신들이 사칭하는 기업의 제품 이름들을 도배해 놓았습니다. 검색을 통해 해당 기업의 고객들이 유입되도록 한 것이죠. 하지만 유입되어 들어가면 그 브랜드와 전혀 다른 사이트가 나타나게 됩니다. 옵티멀의 템플릿을 그대로 본 딴 것이니까요. 오히려 그래서 위험한 사이트로 분류가 되지 않을 수도 있습니다. 그렇게 조금 시간을 보낸 후에 본격적인 사칭 공격을 시작하는 것이라고 봅니다.”
사기 사이트 vansforsaleuk.net의 초기 모습
방금 전에 살펴 본 Inov8japan.com 사이트처럼 초기에는 이 vansforsaleuk.net 사이트도 옵티멀의 데모를 수정도 없이 그대로 가져온 모습을 하고 있다. 반스의 여러 제품들이 목록으로 쭉 나와 있다는 것만이 데모 템플릿과의 유일한 차이다.
[이미지 = 얼루어시큐리티]
완성된 사기 사이트 Vansforsaleuk.net
얼마 간 시간이 지나고 완성된 반스의 사칭 사이트는 실제 반스가 진행하는 마케팅 및 광고의 이미지와 느낌을 고스란히 채용하고 있다. 이 사례에서 눈여겨 봐야 할 것은 도메인 이름이다. ‘영국 반스 판매처’라는 느낌의 이름인 vasnforsaleuk.net은 실제 반스라는 브랜드에서 만들었음직한 느낌을 준다. 실제 브랜드의 영국 지부에서 만들었을 것 같고, .net이라는 최고 레벨 도메인까지 사용했으니 더더욱 의심하기 힘들다. 하지만 원래 반스 영국 판매처의 사이트에 자주 들어가 보았던 사람이라면 도메인이 .net이 아니라 co.uk라는 것을 알 수 있었을 것이다.
[이미지 = 얼루어시큐리티]
진화된 사기 사이트들의 현지화
반스를 흉내 낸 사기 사이트 운영자들은 UAE에 있는 사용자들을 노린 반스 쇼핑 사이트까지도 제작했다. 위에서 본 반스 사칭 사이트의 예시에서처럼 초반에는 옵티멀 템플릿을 그대로 사용한 사이트가 운영됐었다. UAE 사용자들을 노리는 사이트로 진화될 것임에도 초기에는 옵티멀의 영어가 그대로 사용되기도 했다. 하지만 그 준비 기간이 끝나고, 공격자들은 영국 사용자들을 노린 사기 사이트와 거의 비슷한 느낌으로 이 사이트도 진화시켰다. 다만 모든 글자들이 아랍어로 작성되어 있다는 것에 큰 차이가 있다.
[이미지 = 얼루어시큐리티]
사기 사이트의 진화가 반드시 제대로 된 것만은 아니다
스위스의 신발 브랜드인 조야(Joya)를 사칭한 사이트 중 하나인 joyajapan.com은 초기에도 진화를 끝낸 후의 모습과 그리 다르지 않았다. 초기에는 사이트 언어가 영어로 되어 있었고, 진화 끝에 일본어로 바뀌긴 했는데, 사실 그게 전부였다. 변화를 마쳤음에도 조야 브랜드 대신 옵티멀의 로고가 그대로 박혀 있기도 하다. 도무지 어떤 생각으로 이런 사이트를 만들게 되었는지 추측할 수도 없을 정도로 엉망이다.
그래픽을 섞어 색다른 느낌 내기
반스의 스위스 팬들을 노린 사칭 사이트도 등장했다. 도메인 이름은 vansschuheschweiz.com이었다. 최고 레벨 도메인인 .com을 사용하고 있다. 사용자들의 신뢰감을 얻어내기 위한 노력이다. 하지만 반스 스위스에서 사용하는 도메인은 vans.ch이다. .ch는 스위스의 공식 최고 레벨 도메인 중 하나다.
이 사이트에서 볼 수 있는 건 공격자들이 여러 그래픽 요소들을 혼합하고 섞어놓았다는 것이다. 그렇기 때문에 다른 반스 사칭 사이트들과 사뭇 다른 결과물이 나오기도 한다. 초기 모습도 그렇고, 후기 모습도 그렇고, 다른 사기 사이트들과는 또 다른 느낌을 준다.
[이미지 = 얼루어시큐리티]
실제 웹사이트와 사칭 웹사이트의 비교
이제는 실제 사이트와 가짜 사이트를 비교해 보자. 헤이듀드(Hey Dude)라는 브랜드다. 위가 사기 사이트, 아래가 진짜 사이트다. 무작정 진짜를 따라하지 않았다는 게 눈에 띈다. 심지어 회사의 실제 로고도 사용하지 않고 있다. 다만 실제 제품 사진이 등장하긴 하고, 그렇기 때문에 제품 사용자들은 사이트에 큰 의심을 갖지 않게 된다. 실제 다른 사이트(진짜 사이트)가 존재한다는 걸 알아도, 똑같이 흉내 낸 게 아니라 느낌만 가졌기 때문에 해당 브랜드가 운영하는 또 다른 사이트로 받아들이기도 한다.
[이미지 = 얼루어시큐리티]
[이미지 = 얼루어시큐리티]
이런 사이트들을 운영해서 공격자들이 얻어가는 건 무엇일까? 숄은 “현재까지 조사한 바에 의하면 고객들에게 주문을 받고 물건은 배달하지 않는 식의 사기 공격을 하기 위한 플랫폼으로 보인다”고 설명한다. 여러 신발 브랜드를 사칭하고, 고객들이 신발을 사기 위해 물건을 고르고 온라인 결제까지 진행하게 함으로써 돈이 자신들에게 입금되도록 하는 것이다. “그러면 고객은 지불한 돈을 고스란히 잃을 뿐만 아니라, 그 브랜드의 제품을 온라인에서 구매하지 않을 수도 있습니다. 사칭 공격 때문에 멀쩡한 브랜드가 고객을 잃고, 고객은 돈을 잃게 되는 겁니다.”
글 : 에리카 치코우스키(Ericka Chickowski), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg)