| 기업 웹사이트가 도박 및 쇼핑 사이트보다 더 위험하다? | 2018.02.06 |
사용자가 접속한 웹사이트 통해 평균 25개 다른 웹사이트에도 접속
피싱과 스피어피싱 공격으로 개시...취약한 소프트웨어 사용하는 사례도 많아 [보안뉴스 문가용 기자] 지난 한 해 동안 기업의 웹사이트 12,300여개가 멀웨어 배포 등의 사이버 공격에 사용됐다는 보고서가 발표됐다. 이러한 수치로만 보면 기업들이 운영하는 웹사이트가 도박 및 온라인 쇼핑 사이트들보다 더 위험하다고도 해석이 가능하다고도 한다. 이는 유명한 사이트에 대한 신뢰도가 높은 일반 사용자들의 성향 때문이다.  [이미지 = iclickart] 이는 보안 업체 멘로 시큐리티(Menlo Security)가 발표한 내용인데, 이에 의하면 알렉사가 선정한 상위 10만개 웹사이트들 중 42%가 위험군에 속한다. 멘로 시큐리티가 정의하는 ‘위험’은 세 가지 요소를 포함하는데, 1) 취약한 소프트웨어를 사용하는가, 2) 멀웨어를 배포하는 등의 사이버 공격 전적이 있는가, 3) 최근 12개월 동안 보안 침해 사고가 일어난 적이 있는가이다. 위 세 가지 항목 중 하나라도 ‘그렇다’라고 답을 해야 한다면 그 사이트는 위험하다고 멘로 시큐리티는 평가했다. 그 결과 산업군별로 봤을 때 가장 위험한 웹사이트를 가진 곳은 뉴스 및 미디어 산업이었다. 웹사이트의 49%가 위험하다는 평가를 받은 것이다. 그 다음은 엔터테인먼트와 예술(45%), 여행(41%), 개인 사이트 및 블로그(40%), 사회(39%), 사업과 경제(39%) 순이었다. 사업과 경제 부문에 속한 웹사이트들은 다른 부문보다 피싱 사이트 호스팅, 취약한 소프트웨어 사용, 보안 사고 경험 측면에서 가장 높은 기록을 달성했다. 2017년 한 해에만 23,819 건의 보안 사고가 있었고, 2위는 ‘사회’ 부문으로 총 12,669 건의 사고를 겪었다. 멘로 시큐리티의 CTO인 코우식 구루스와미(Kowsik Guruswamy)는 “배경 방사(background radiation)”가 문제의 핵심이라고 짚는다. 사이버 공격의 대부분이 보이지 않는 곳에서 일어나기 때문에 웹사이트 관리자가 탐지하기 힘들다는 것이다. “제가 어떤 기업의 웹사이트를 방문했다고 칩시다. 그런데 사실 저는 그 한 곳만 방문한 게 아니에요. 그 웹사이트 뒤로 평균 25개의 다른 사이트들에도 접속하고 있는 중입니다. 광고 네트워크가 오밀조밀하게 짜여져 있기 때문이죠. 콘텐츠 배포 서버를 통해 동영상을 보는 것도 한 예가 될 수 있고요.” 그러니 이 25개 사이트 중 한 곳만 침해가 돼도 방문자 모두가 아무것도 모른 채로 당할 수밖에 없는 것이 지금의 웹 환경이라고 구루스와미는 설명한다. “현존하는 백신 제품이나 보안 솔루션들은 사용자가 방문하고자 했던 원래의 사이트에만 초점을 맞춰 기능을 발휘합니다. 그 뒤로 연결된 사이트들까지 보지 않아요.” 해당 사이트의 IT 팀 역시 자기 사이트만 관리하지 배경에 있는 타 업체 사이트들까지 손보지 않는다. 취약점이 많은 소프트웨어가 널리 사용되고 있다는 것도 문제다. “골동품 같은 소프트웨어가 여전히 사용되고 있습니다. 해킹해달라고 비는 꼴이죠. 가장 극명하게 드러난 예는 작년의 에퀴팩스(Equifax) 사건이고요. 오래된 소프트웨어는 패치도 나오지 않기 때문에 대처를 할 수가 없습니다.” 멘로의 분석가들은 사업과 경제 부문에서만 약 51,000개의 웹사이트가 취약한 소프트웨어를 사용하고 있다고 밝혔다. 개설된 지 오래된 웹사이트라면 ‘해킹 사고 전적’ 역시 문제가 될 수밖에 없다. “심지어 한두 번이 아니라 여러 번 침해된 곳도 많습니다. 그런데도 그걸 모르고 있거나, 무시하고 있죠. 한 번 지나갔으니까 이젠 괜찮을 거라고 생각하는 회사들도 있었습니다.” 주로 어떤 공격 전략이 많이 사용되는가? 멘로에 의하면 “대부분의 공격은 피싱 혹은 스피어피싱 공격으로부터 시작된다”고 한다. 2017년 한 해 동안 멘로는 ‘정상적인 호스트 서비스’를 활용한 피싱 공격을 4600건 발견했다. “실제로 존재하는 호스팅 서비스의 서브도메인을 만드는 건 그리 어려운 일이 아니거든요. 완전히 새로운 도메인을 사용해 그럴듯한 웹사이트를 하나 만드는 것에 비교하자면요.” 정상적인 호스트 서비스를 공격에 활용할 경우 블랙리스트에서 제외될 수 있다. “세계에서 가장 인기 많은 웹사이트 10개에서도 15개의 피싱 웹사이트가 발견됐을 정도입니다. 이런 사이트들의 경우 사용자들의 신뢰를 얻어내기가 간편합니다. 다행히 이 15개 피싱 웹사이트에서 실제 피해가 발생했는지는 아직 밝혀진 바가 없습니다만, 해커들이 공격의 준비를 하고 있었다는 건 충격적이죠.” 그렇기에 구루스와미는 이러한 상태를 총체적으로 아울러 “신뢰에 대한 공격”이라고 정의한다. “대부분 ‘도큐사인(DocuSign)’이나 ‘드롭박스(Dropbox)’와 같은 유명 서비스들의 이름을 공격에 사용해요. 사용자들이 이 이름들을 보면 확인할 필요를 느끼지 못할 만큼 신뢰하기 때문이죠. 그 맹점을 노리는 공격입니다.” 타이포스쿼팅(typosquatting)이라는 공격 방법도 흔히 사용된다. 사용자가 도메인을 입력할 때 실수할 법한 글자 조합으로 미리 피싱 사이트를 만들어 놓고 기다리는 것이다. “Yaoo.com이라든가 Youtuube.com 등은 흔히 하는 스펠링 혹은 타이핑 오류이기도 한데, 해커들이 이 도메인을 사들여 피싱 사이트를 만들어놓기도 했습니다.” [국제부 문가용 기자(globoan@boannews.com)] Copyrighted 2015. UBM-Tech. 117153:0515BC |
|
 |
