HTTPS 서버, 자가 서명된 기본 인증서 사용, 공신력 있는 기관 인증서 사용 안해
[보안뉴스 김영명 기자] 2024 파리 올림픽이 뜨거운 열기 속에 치러지며 끝을 향해 나아가고 있다. 이러한 가운데 7월 후반기부터 파리 올림픽 티켓 판매를 사칭하는 피싱 공격이 빠른 속도로 확산했던 것으로 파악됐다.
▲올림픽 티켓판매 사이트를 사칭하는 피싱 사이트 ticket-paris24닷컴 접속 화면[이미지=AI스페라]
AI 보안업체 에이아이스페라(AI스페라)는 최근 무려 708개의 사칭 도메인에서 러시아 국적 사용자들을 주 대상으로 한 2024 파리 올림픽 관련 대규모 티켓 판매 사기와 피싱 공격이 보고됐다고 소개했다. 이와 함께 피싱 공격을 목적으로 위조된 사이트를 확인하는 방법과 피싱 예방법을 안내했다.
파리 올림픽 티켓 사기, 원가 3배에서 10배까지 사기 거래
해당 공격 중 파리 올림픽 티켓 사칭 도메인은 올림픽과 관련된 특정 키워드를 검색해 탐지됐으며, ticket-paris24닷컴 및 tickets-paris24닷컴 등 두 개의 도메인에서 실제 티켓 판매 웹사이트와 유사한 UI를 갖춘 웹사이트가 발견됐다. 교묘하게 만들어진 이 피싱 사이트는 사소한 문법 및 철자 오류 외에 전반적으로 매우 신뢰도 높은 웹사이트처럼 보여 육안으로 피싱 여부를 구별하기가 어려웠다.
해당 웹사이트에서는 공식 웹사이트에서 100유로(한화 약 14만 9,126원) 이하로 판매되는 올림픽 티켓을 최소 300유로(한화 약 44만 7,378원)에서 1000유로(한화 약 149만 1,260원)까지 판매하고 있다. 결제 과정에서는 글로벌 모바일 결제 플랫폼 스트라이프(Stripe)와 같은 정상적인 결제 처리 플랫폼을 사용했고, 피해자의 카드에 충분한 자금이 있을 때만 거래를 허용했다는 점에서 이들은 피해자의 금융정보를 탈취하려 하기보다는 단순히 티켓 구매 금액으로 발생하는 금전적인 이득을 취하려 한 것으로 보인다.
특정 기관이나 기업을 사칭하는 피싱 사이트는 목적에 따라 여러 가지 피해가 발생한다. 이번 사례는 단순히 금전적 이득만을 취하려 했지만, 만약 접속과 동시에 악성코드가 배포되거나 랜섬웨어에 감염된다면 더 큰 피해가 발생할 수도 있었을 것이다.
▲올림픽 티켓판매 사이트를 사칭하는 또다른 피싱 사이트 tickets-paris24닷컴 접속 화면[이미지=AI스페라]
티켓 판매 사칭 여부, 실시간 URL 스캐너로 찾아봤더니
이처럼 육안으로 탐지하기 어렵거나 접속만으로도 피해를 볼 수 있는 피싱 사이트로 의심되는 경우에는 실시간 URL 스캔으로 안전하게 피싱 여부를 판별할 수 있다. 의심 가는 사이트에 접속하기 전에 해당 도메인의 URL을 AI 기반 피싱 탐지 도구로 찾아보는 것이다.
이번 파리 올림픽 티켓 판매 사칭 공격에 사용된 주요 도메인은 ticket-paris24닷컴과 tickets-paris24닷컴 등 두 개다. 이들 사이트는 2024 파리 올림픽 관련 티켓을 판매를 가장하고 있다. 이 외에도 2024 UEFA 유럽 선수권 대회, 유명 콘서트와 페스티벌 등 다양한 이벤트 관련 도메인도 악용되고 있다.
해당 사이트를 AI 기반 피싱 탐지 도구인 Criminal IP의 Domain Search로 실시간 스캔해봤다. 그 결과 99%의 ‘Critical’ 위험도로 분류됐다. 피싱 가능성은 79.36%이며, 사이트 평판이 불분명하다. 실제 파리 올림픽 티켓 구매 사이트라면 전 세계적으로 상당한 트래픽 유입이 있어야 하는데, 사이트 평판이 불분명하다는 점은 충분히 의심스러운 요소다.
이와 함께 위조 파비콘도 사용된 것으로 보이는데, 공식 사이트가 위조 파비콘을 사용할 가능성은 극히 낮기 때문에 이 웹사이트는 높은 확률로 파리 올림픽 티켓 판매 사칭 피싱사이트가 맞다고 판단할 수 있다.
▲Criminal IP Domain Search의 파리 올림픽 티켓 구매 피싱 사이트 URL 스캔 결과[이미지=AI스페라]
또한 다수의 티켓 사기 도메인이 동일한 IP 주소를 가리키고 있다. 이는 공격자들이 다수의 도메인을 하나의 IP 주소에 연결해 한 번 발견되어 차단되더라도 다른 도메인으로 계속 활동할 수 있는 구조를 취하고 있는 것으로 보인다. 이러한 네트워크 구성은 탐지와 차단을 어렵게 만든다는 중요한 특징이 있다.
해당 IP 주소를 Criminal IP의 Asset Search로 검색한 결과를 살펴보면 이 IP 주소에서 운영 중인 서비스로는 443 포트를 이용한 HTTPS 서버와 80 포트를 이용한 HTTP 서버가 확인됐다. 443 포트의 HTTPS 서버의 경우, 신뢰성이 더 높다는 점을 이용해 더 많은 피해자들을 감쪽같이 속이도록 유도한 것으로 보인다.
사칭 서버, 자가 서명된 인증서 사용...비공식 사이트 시사
또한 이 HTTPS 서버는 자가 서명된 기본 인증서가 사용되고 있음을 알 수 있다. 국제적인 행사인 올림픽과 같은 경우, 공식 웹사이트의 보안을 철저하게 하기 위해 주로 검증된 인증서 발급기관의 인증서를 사용한다. 그러나 이처럼 자가 서명된 기본 인증서를 사용한 것은 해당 사이트가 올림픽 공식 웹사이트가 아니라는 점을 시사한다.
‘IP 주소의 분류 정보’에서 파리 올림픽 티켓 판매 사칭에 사용된 것으로 파악되는 IP 주소가 C2와 관련이 있는 것으로 탐지됐다. C2 서버와의 연관 여부를 파악하는 것은 피싱 공격의 분석에 핵심적인데, 연관성이 있는 경우 티켓 판매 사칭이 웹사이트 내의 피싱 공격으로 그치는 것이 아니라 해당 IP 주소가 해커들에 의해 직접 제어 서버로 사용될 수 있기 때문이다. 즉 C2 서버와의 연관이 있다면, 이는 해커가 악성코드에 감염된 시스템을 원격으로 조종하고 추가적인 악성 행위를 지시할 수 있는 기반이 된다.
또한 이 IP 주소에 연결된 도메인들을 살펴보면, 다수의 ticketsparis24닷컴, avangard-tickets닷러시아, concertgiopika닷컴 등 티켓팅 관련 웹사이트들이 포함돼 있으며 여러 국가 및 지역을 대상으로 하는 다양한 도메인 이름들이 확인된다. 이는 해당 IP 주소가 광범위한 온라인 티켓팅 사기에 연루될 가능성이 있음을 알려준다.
종합적으로 볼 때, 이 IP 주소는 위험한 활동과 직접적인 연관성이 있으며, 특히 피싱, 스팸 배포, 악성코드 전파 등과 같은 사이버 범죄에 사용될 가능성이 크다는 것을 알 수 있다.
AI스페라 분석팀은 “올림픽 기간을 이용해 쉽게 판별하기 어려운 피싱 공격의 확산이 이뤄지는 만큼 티켓 구매자들은 위조 판매 사이트 점검 방법을 숙지하며 유의해야 할 것”이라며 “피싱 피해를 예방하기 위해서는 실시간 URL 검색 도구를 사용하거나 크롬 확장 프로그램을 브라우저에 설치해 피싱 사이트로의 접속을 자동으로 차단할 수도 있다”고 안내했다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>