.gif)
온라인 범죄자들, 한 번에 수천 개 가짜 사이트 만들어
범죄 사이트 하나하나 삭제하는 건 거의 ‘아무런 소용없어’
.jpg)
[보안뉴스 문가용 기자] 악성 웹 사이트를 폐쇄하는 건 임시방편일 뿐이다. 범죄자들 입장에서는 그저 다른 주소를 하나 파서 새로운 사이트를 만들면 그만이기 때문이다. 이에 몇몇 전문가들이 DNS 분석을 통해 좀 더 ‘근본적인’ 소탕을 할 수 있도록 하는 방법을 연구했다. 이 전문가들은 파사이트 시큐리티(Farsight Security)의 CRO인 앤드류 류만(Andrew Lewman), 사이벨엔젤(CybelAngel)의 CTO인 스티븐 케로디(Stevan Keraudy)다.
이 연구에 대해 류만은 “온라인 범죄 네트워크를 적발하기 위해 네트워크 과학이라는 접근법을 활용해 본 시도”라고 설명한다. DNS 요청을 시각화하고 분석해 수상한 웹 사이트들의 공통 쓰레드를 발견해내고자 한 것으로, 두 사람은 수천 개의 가짜 웹 사이트를 DNS 캐시 미스 요청을 통해 걸러내고, 수백 개의 도메인 이름을 추려내 한 개의 범죄 조직을 발견하는 데에 성공했다고 한다.
“온라인 범죄 소탕의 가장 큰 문제점은, 범죄자들의 자원이 풍부하다는 겁니다. 그냥 웹 사이트 하나 둘 없어지는 건 그들에게 전혀 걸림돌이 되지 않습니다. 폐쇄를 예상하고 한 번에 몇 천 개씩 만들어냈다가 타이밍 맞춰 하나씩 온라인에 공개하는 게 그들의 공격 패턴입니다. 우리가 하나 찾아내서 닫았다고 축배를 들 때 그들은 미리 예비해둔 수천 개 웹 사이트 중 하나를 온라인으로 전환하면 끝입니다.” 케로디의 설명이다.
이 시스템이 사실이라면 웹 사이트를 하나하나 거둬내는 건 전혀 쓸모가 없는 방법이라고 볼 수 있다. 인터넷의 창시자이자 DNS 전문가인 폴 빅시(Paul Vixie)도 얼마 전 이 점을 깨닫고 ‘웹 사이트를 온라인화 시킬 때 유예 기간이 필요하다’고 주장한 바 있다. 웹 사이트를 온라인화 시키는 걸 누구나 할 수 있으니 범죄자들의 행위를 잡아낼 수가 없다는 것이 그 이유였다.
류만과 케로디는 파사이트에서 제공하는 패시브 DNS(Passive DNS) 서비스를 사용해 이 연구를 진행했다. 패시브 DNS 서비스를 가지고 실시간으로 응답 데이터를 수집했다고 한다. 또 사이벨앤젤의 웹 크롤링 기술과 데이터 분석 알고리즘을 활용해 가짜 도메인 이름들이 온라인화 될 때마다 잡아냈다. “패시브 DNS를 전환시켜 흔히 가짜 이름 생성에 활용되는 브랜드와 같은 것들을 시각화했습니다. 시각화란 한 마디로 말해 저희가 설정한 정보 검색 및 자료 수집을 한 기계가, 인간이 알아들을 수 있는 언어로 전환하는 것을 말합니다.”
이렇게 하니 악성 및 범죄에 활용되는 웹 사이트들이 뭉텅이로 ‘시각화’되었다. 그리고 이 뭉텅이 뭉텅이들을 추적해 그 뿌리가 되는 조직 자체에 다다를 수 있었다. “이 시점에서는 법적인 조치를 취할 수 있게 됩니다. 예를 들어 유명 브랜드의 웹 사이트인 것처럼 꾸며놓은 범죄 사이트를 오리지널 브랜드 보유 회사에서 고소할 수 있게 되죠. 범죄 조직을 정확히 겨냥해서요.”
수상한 웹 사이트들에는 크롤러를 작동시킨다. 적발보다는 가시화 작업 혹은 뿌리 추적을 위한 최대한의 정보를 수집하는 역할을 수행한다. “전화번호, 이메일, 후이즈 관련 정보들을 최대한 수집하는 것이죠.” 그렇지만 이 방법을 활성화시킨다고 해도 범죄 척결이 금방 이루어질 것이라고 보이지는 않는다고 두 전문가는 입을 모은다. “범죄와의 싸움은 오프라인이든 온라인이든 영원한 술래잡기거든요. DNS 분석을 통해 뿌리에 있는 범죄 조직을 밝혀내고 법적인 조치를 취해서 그들을 가둔다고 해도, 다음 범죄 집단이 나타나 이 방법을 무용지물로 만들 겁니다.”
두 전문가는 자신들이 직접 실험해본 이 ‘DNS 분석으로 범죄 집단 추적하기’를 블랙햇 유럽 행사에서 자세하게 공개할 예정이다. 본지도 후속기사가 공개되는 대로 전달할 예정이다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
범죄 사이트 하나하나 삭제하는 건 거의 ‘아무런 소용없어’
[보안뉴스 문가용 기자] 악성 웹 사이트를 폐쇄하는 건 임시방편일 뿐이다. 범죄자들 입장에서는 그저 다른 주소를 하나 파서 새로운 사이트를 만들면 그만이기 때문이다. 이에 몇몇 전문가들이 DNS 분석을 통해 좀 더 ‘근본적인’ 소탕을 할 수 있도록 하는 방법을 연구했다. 이 전문가들은 파사이트 시큐리티(Farsight Security)의 CRO인 앤드류 류만(Andrew Lewman), 사이벨엔젤(CybelAngel)의 CTO인 스티븐 케로디(Stevan Keraudy)다.
이 연구에 대해 류만은 “온라인 범죄 네트워크를 적발하기 위해 네트워크 과학이라는 접근법을 활용해 본 시도”라고 설명한다. DNS 요청을 시각화하고 분석해 수상한 웹 사이트들의 공통 쓰레드를 발견해내고자 한 것으로, 두 사람은 수천 개의 가짜 웹 사이트를 DNS 캐시 미스 요청을 통해 걸러내고, 수백 개의 도메인 이름을 추려내 한 개의 범죄 조직을 발견하는 데에 성공했다고 한다.
“온라인 범죄 소탕의 가장 큰 문제점은, 범죄자들의 자원이 풍부하다는 겁니다. 그냥 웹 사이트 하나 둘 없어지는 건 그들에게 전혀 걸림돌이 되지 않습니다. 폐쇄를 예상하고 한 번에 몇 천 개씩 만들어냈다가 타이밍 맞춰 하나씩 온라인에 공개하는 게 그들의 공격 패턴입니다. 우리가 하나 찾아내서 닫았다고 축배를 들 때 그들은 미리 예비해둔 수천 개 웹 사이트 중 하나를 온라인으로 전환하면 끝입니다.” 케로디의 설명이다.
이 시스템이 사실이라면 웹 사이트를 하나하나 거둬내는 건 전혀 쓸모가 없는 방법이라고 볼 수 있다. 인터넷의 창시자이자 DNS 전문가인 폴 빅시(Paul Vixie)도 얼마 전 이 점을 깨닫고 ‘웹 사이트를 온라인화 시킬 때 유예 기간이 필요하다’고 주장한 바 있다. 웹 사이트를 온라인화 시키는 걸 누구나 할 수 있으니 범죄자들의 행위를 잡아낼 수가 없다는 것이 그 이유였다.
류만과 케로디는 파사이트에서 제공하는 패시브 DNS(Passive DNS) 서비스를 사용해 이 연구를 진행했다. 패시브 DNS 서비스를 가지고 실시간으로 응답 데이터를 수집했다고 한다. 또 사이벨앤젤의 웹 크롤링 기술과 데이터 분석 알고리즘을 활용해 가짜 도메인 이름들이 온라인화 될 때마다 잡아냈다. “패시브 DNS를 전환시켜 흔히 가짜 이름 생성에 활용되는 브랜드와 같은 것들을 시각화했습니다. 시각화란 한 마디로 말해 저희가 설정한 정보 검색 및 자료 수집을 한 기계가, 인간이 알아들을 수 있는 언어로 전환하는 것을 말합니다.”
이렇게 하니 악성 및 범죄에 활용되는 웹 사이트들이 뭉텅이로 ‘시각화’되었다. 그리고 이 뭉텅이 뭉텅이들을 추적해 그 뿌리가 되는 조직 자체에 다다를 수 있었다. “이 시점에서는 법적인 조치를 취할 수 있게 됩니다. 예를 들어 유명 브랜드의 웹 사이트인 것처럼 꾸며놓은 범죄 사이트를 오리지널 브랜드 보유 회사에서 고소할 수 있게 되죠. 범죄 조직을 정확히 겨냥해서요.”
수상한 웹 사이트들에는 크롤러를 작동시킨다. 적발보다는 가시화 작업 혹은 뿌리 추적을 위한 최대한의 정보를 수집하는 역할을 수행한다. “전화번호, 이메일, 후이즈 관련 정보들을 최대한 수집하는 것이죠.” 그렇지만 이 방법을 활성화시킨다고 해도 범죄 척결이 금방 이루어질 것이라고 보이지는 않는다고 두 전문가는 입을 모은다. “범죄와의 싸움은 오프라인이든 온라인이든 영원한 술래잡기거든요. DNS 분석을 통해 뿌리에 있는 범죄 조직을 밝혀내고 법적인 조치를 취해서 그들을 가둔다고 해도, 다음 범죄 집단이 나타나 이 방법을 무용지물로 만들 겁니다.”
두 전문가는 자신들이 직접 실험해본 이 ‘DNS 분석으로 범죄 집단 추적하기’를 블랙햇 유럽 행사에서 자세하게 공개할 예정이다. 본지도 후속기사가 공개되는 대로 전달할 예정이다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
