도메인을 확보해서 피싱 공격을 하는 해커들의 허점 노려

아직은 내부에서 실험 중, 충분한 기간 거친 후 출시 예정

[보안뉴스 문가용] 누군가는 사이버 공격에 대해 어떤 경로를 통해 발생했으며 누구에게 책임이 있는지를 밝혀내는가 하면 누군가는 들어오는 공격을 예측하고 쳐내는 데에 집중한다. 오픈DNS가 최근 발표한 새로운 툴은 후자의 기능을 가진 것으로 NLP랭크(NLPRank)라고 하며 ‘인터넷 상의 악성 언어’를 활용해 의심스러운 도메인을 등록 생성시간과 별 차이 없이 감지해낸다. 그렇기 때문에 범죄 예상 시나리오가 수립되고 용의자가 물망에 오르기 훨씬 전에 공격을 차단할 수 있게 되는 것이다.

오픈DNS의 보안분석가인 제리미아 오코너(Jeremiah O‘Connor)는 지난 11월 NLP랭크의 기본 콘셉트를 처음 생각해냈다. 카스퍼스키에서 다크호텔(DarkHotel) 공격에 대해서 밝혀내고 맨디언트에서 APT1이라는 해킹팀에 대해 막 보고서를 낸 직후였다. “둘에게서 공통점이 보였습니다. 피싱 공격을 벌일 때 사용할 도메인 이름을 신중히 고른다는 것이었죠.”

“두 팀이 전부 도메인을 스푸핑해서, 마치 제대로 된 진짜 기업이나 단체에서 보낸 것과 같은 메일 주소로부터 피싱 메일을 발송했다는 것이죠. 요즘 사용자들, 주소가 조금만 이상해도 메일 열어보지 않잖아요. 그래서 도메인 이름을 좀 더 깊게 분석해봤습니다. 그랬더니 뻔한 패턴이 보이더군요. 해커들이 사용하는 도메인 이름이란 게 예상이 가능한 것들이 대부분이었습니다.”

오코너는 다크호텔과 APT1이 행했던 공격 모델을 분석해 몇 가지 단어가 반복적으로 등장한다는 걸 발견했다. 업데이트(update), 설치(install), 다운로드(download)가 바로 그것이었다. 그 다음으로는 자바(java), 지메일(gmail), 어도비(adobe)가 높은 인기를 구가했다. NLP랭크는 이를 ‘인터넷 상의 악성 언어’로 규정하고 이런 단어들이 등장하는 여러 사이트들을 교차비교 하는 기능을 가지고 있다.

“그런 후에는 특별한 정열 기술을 활용해 교차비교한 도메인 이름들을 등급별로 나열합니다. 그런 과정을 통과하면 ‘installad0be’처럼 교묘하게 비슷한 이름들이 걸러집니다. 그 이름들을 가지고 피싱 공격에 사용될 가능성을 한 번 더 판단하는 것이죠.”

이런 도메인 이름들이 오픈DNS의 스캔 결과에 나타나면 NLP랭크는 의심을 가중시키거나 해소시킬 수 있는 또 다른 정보를 찾아나선다. 예를 들어 WHOIS 정보를 확인해 의심스럽다고 판단된 도메인 이름이 등록되어 있는지를 살피기도 하며 혹은 그 사이트와 연관된 기업에서 비슷한 사이트를 운영하는지를 점검한다. HTML도 확인하여 그 안에 걸려 있는 링크 주소가 어디 의심스러운 곳으로 유도하고 있지는 않은지도 본다.

오픈DNS에 따르면 해커들은 자신들이 만든 악성 도메인을 등록하기 전에 몇 번 실험 단계를 거치는데, 그 실험 단계에서부터 감지가 가능하다고 한다. “그래서 등록이란 게 고려되기 전부터 차단하는 것이 가능합니다.”

오픈DNS는 이미 NLP랭크를 자사 내에서 활용하고 있다. 성과도 있었다. 지난 달에는 페이팔을 겨냥한 피싱 캠페인을 차단했고 얼마 전 카스퍼스키에서 발견해 보안업계의 큰 화젯거리가 되었던 카르바낙(Carbanak) 범죄단이 저지른 사상 최대 규모의 은행털이 조직들이 사용한 C&C 서버도 일찌감치 감지해냈다.

하지만 아직 내부용 기술일뿐 외부로 공개하기에는 준비가 부족하다는 게 오픈DNS의 입장이다. 아직 실험을 더 해봐야 한다는 것이다. “충분한 실험 기간을 가지면 해커들이 자주 사용하는 단어나 표현의 데이터베이스도 늘어날 것이고, 그러면 탐지가 더 정확해지겠죠. 지금보다는 수준이 더 높아야 공개할 수 있을 것입니다.”

오픈DNS는 그래서인지 최근 회사 인원을 확충했다. “NLP랭크와 비슷하거나 더 높은 수준의 혁신을 준비 중에 있습니다. 곧 또 인터뷰하러 오시고 싶어지실 듯 합니다.”

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>