아이 갓 피시드라는 이름의 프로젝트, 피싱 공격에 대한 대응 속도 높이려 고안돼
피해자 개개인에게 사실 통보하기보다 보안 담당자나 도메인 소유주에게 알려

[보안뉴스 문가용 기자] 사용자들이 피싱 공격에 당할 때마다 IT 보안 담당자들과 도메인 소유주들에게 알리기 위한 프로젝트가 시작됐다. 이 프로젝트의 이름은 ‘아이 갓 피시드(I got phished : 나 피싱 공격 당했어요)’로, 악성 행위 모니터링 웹사이트인 abuse.ch에서 시작됐다.


“이 프로젝트의 목적은 CERT, CSIRT, SOC 등 보안을 관제하고 운영하는 곳에서 근무하는 전문가들과 도메인 소유자들에게 ‘당신이 관리하는 환경 내에 피싱 공격으로 인한 피해자가 발생했을 가능성이 높다’는 사실을 알리는 것입니다.” abuse.ch 측의 설명이다. 프로젝트가 진행되는 곳은 여기(https://igotphished.abuse.ch/)다.

이 프로젝트의 정보는 ‘아이 갓 피시드’나 abuse.ch에서 직접 생성하는 것이 아니라, 이 프로젝트에 참여하는 외부 보안 전문가들로부터 입수되는 것이라고 한다. 신뢰할 만한 전문가들로 선정했다고 하며, 데이터가 어떤 식으로 생성되고 제공되는지는 추적하지 않는다고도 abuse.ch는 덧붙였다. 이미 정확한 정보라고 믿는다는 것이다.

프로젝트에서 수집하는 피해자 정보는 이메일 주소뿐이다. 관리자나 도메인 소유주에게 사용자가 피싱 공격에 당했다는 걸 알리는 것이 의미를 가지려면, 어느 사용자가 당한 건지 알려야 하기 때문에 이메일 수집은 불가피했다고 한다. 하지만 비밀번호를 저장하거나 피싱 피해자들에게 피해 사실을 직접 알리지도 않는다.

프로젝트에 참가할 수 있는 IT 전문가들, 즉 피싱 피해자와 관련된 데이터를 제출할 자격을 갖춘 보안 전문가들은 엄선된다고 하며, 오랜 기간 보안 업무를 해온 경험자들 중에서만 뽑는다고 한다. “개인 사용자라면 이메일 주소를 아이 갓 피시드에 등록할 수 없습니다. 보고서 또한 개인 이메일 주소가 아니라 도메인 이름을 기반으로 접수됩니다.”

하지만 보안 팀과 도메인 소유자들은 자신들의 도메인을 아이 갓 피시드에 등록함으로써 피싱 공격 발생 시 알림 메시지를 받을 수 있다. “저희 파트너 보안 전문가들이 제공한 데이터와, 도메인 소유주 및 보인 팀이 등록한 도메인이 겹치는 경우, 피싱 공격 가능성이 높다고 보고 통보 메시지를 보낼 예정입니다.” 서브 도메인 역시 등록이 불가하다.

아이 갓 피시드는 현재 API도 제공 중에 있다. 보안 전문가들은 이를 활용해 피싱 피해자들에 대한 데이터를 피드 받을 수 있게 된다. 현재까지 아이 갓 피시드에 등록한 곳은 2000개 정도 되며, 피해자가 발생했을 가능성이 높다고 통보를 받은 도메인은 4100개 정도 된다. 실제 침해를 당한 이메일은 약 5400개다.

3줄 요약
1. 피싱 피해자 발생할 때 도메인 소유자나 보안 팀에 알려주는 프로젝트 시작됨.
2. 아이 갓 피시드라는 서비스로, 현재 API도 제공 중에 있음.
3. 피해자에게 직접 알리는 것 아니라, 사용자 개개인이 등록할 수는 없음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>