브랜드 스푸핑, 애플, 페이스북, 구글과 같은 유명 브랜드를 주로 노렸으나
가짜 구글 사이트, 인터넷에 올라오는 순간 삭제...보다 작은 기업들 노릴 수밖에

[보안뉴스 문가용 기자] 브랜드 스푸핑 공격을 주로 하는 사이버 범죄자들이 눈을 다른 곳으로 돌리기 시작했다. 브랜드 스푸핑 공격이란, 유명 브랜드를 사칭하여 소비자들을 유혹한 뒤 크리덴셜이나 돈을 훔쳐내는 것을 말한다. 주로 애프, 구글, 아마존, 페이스북 등 누구나 알아볼 만한 브랜드인 것처럼 이메일을 보내 엉뚱한 클릭이나 로그인을 유도하는 방식으로 공격이 진행된다.


유명 브랜드일수록 고객이 많으니 속을 사람도 많다. 사이버 범죄자들 대부분 유명 브랜드를 사칭한 것은 이러한 논리 때문이었다. 실제 성과도 적지 않았다. 하지만 애플, 페이스북, 구글 등이 이러한 사칭 공격을 근절하기 위해 진지하게 돈을 쓰기 시작했다. 이메일 보안 업체인 마임캐스트(Mimecast)의 수석 보안 전략가인 매튜 가디너(Matthew Gardiner)인 “요즘 가짜 구글 페이지를 만들어 호스팅하면, 인터넷에 약 0.5 밀리세컨드 정도 유지된다”고 말한다. “구글은 자신들을 사칭하는 페이지를 찾아서 폐쇄하는 데 상당한 실력을 보유한 상태입니다.”

그러다 보니 범죄자들은 자연스럽게 보다 작은 기업들로 눈을 돌리기 시작했다. 그 중에는 체크포인트(Check Point)와 같은 보안 기업도 섞여 있다고 한다. “체크포인트의 경우, 인도네시아 지부의 공식 웹사이트를 똑같이 본 딴 웹사이트가 만들어진 것이 발견됐습니다. 도메인 이름도 비슷하게 만들어졌고, 트레이드마크와 브랜드 이름, 메일 교환기(MX) 기록 등이 똑같이 사용되었습니다. 의심스러워 체크포인트 측에 이를 알리고 경고한 상태입니다.” 해당 사이트는 현재 폐쇄된 상태다.

조사를 이어간 마임캐스트는 “공격자들이 대형 브랜드보다 조금 아래 단계에 있는 브랜드들을 노리기 시작했다”는 트렌드의 변화를 파악했다고 한다. 이 트렌드를 이끄는 가장 중요한 이유 중 하나는 대형 조직이 아닌 경우 스푸핑 공격을 위해 마련된 가짜 웹사이트를 탐지하는 일에 충분한 예산을 투자하기 힘들다는 것이다. 이 때문에 가짜 사이트가 수일에서 수주 동안 멀쩡히 유지된다. 그렇기 때문에 한꺼번에 여러 브랜드를 스푸핑 하는 것도 가능하다는 것도 중요한 장점으로서 작용한다.

사이버 보안 전문 업체들이 이러한 공격의 표적이 되고 있는 건, 전반적으로 소비자들의 신뢰가 높은 편이기 때문이라고 마임캐스트는 분석한다. “소비자 신뢰도가 높을수록 피싱 공격 등으로 소비자들을 속이기가 쉽습니다. 또한 아직은 보안 업체를 적극적으로 이용하는 소비자들 대부분 돈이 많거나 중요한 데이터를 생성 및 거래하는 곳이죠. 즉 보안 업체 소비자들의 크리덴셜은 가치가 있다는 것입니다. 여기에 더해 보안 업체들을 비롯한 중소기업들의 보안성이 전반적으로 낮다고 보는 것 같습니다.”

그 외에 제2 금융권에 속하는 조직들 역시 인기가 높은 표적이 되고 있다고 한다. 제1 금융권 조직들의 방어력이 높아지고 있기 때문에 가장 비슷한 곳으로 공격자들이 눈을 돌리고 있는 것이다.

일반적으로 중소기업에 속하는 조직들은 브랜드 스푸핑 공격에 제대로 방어할 자원을 갖추지 못하고 있다. 심지어 이런 종류의 공격을 전혀 방비하지 않는 것이 일반적이다. “보통 해킹 공격이라고 하면, 대부분 회사를 직접 타격하는 공격으로 이해합니다. 이런 식으로 레이다망 바깥에서 이뤄지는 공격에 대해서는 무방비 상태일 때가 많습니다. 메일함에 들어오는 악성 메시지들에는 자원을 투자하지만, 누군가 우리 회사 웹사이트와 똑같은 사이트를 만들어 우리 고객들을 노린다는 것은 꿈도 못 꾼다는 것이죠.” 가디너의 설명이다.

그러면서 가디너는 “브랜드 스푸핑은 마치 ‘일단 당신의 이름을 가지고 당신을 신뢰하는 사람을 속일게’라고 선언하는 것”이라고 비유한다. “그러므로 이런 종류의 공격을 효과적으로 방어하려면 방어의 마음가짐 자체가 바뀌어야 합니다. 실질적인 공격 표적이 되는 것이 자기 자신인 것과, 자기 자신과 깊은 관련이 있는 타인인 것과는 분명히 다르거든요. 내 주변 사람들을 통해 나의 신뢰를 조금씩 깎아먹는 것에도 민감해져야 한다는 건데, 이는 나 자신을 보호하는 것과는 다른 개념입니다.”

가디너는 “지금으로서는 다중인증을 도입하고, 이를 고객들이 전반적으로 활용할 수 있도록 체제를 조금씩 바꿔가는 것이 좋다”고 제안한다. “가짜 사이트에 접속했더라도, ‘로그인 과정이 간소화 됐네?’라는 의심을 고객 스스로가 가질 수 있도록 해야 합니다. 그런 다음 수시로 누군가 우리 회사와 비슷한 웹사이트를 만들어 개설하지는 않았나 찾아보는 것도 중요합니다.”

3줄 요약
1. 브랜드 사칭에 주로 당하던 애플, 구글, 페이스북 등이 더 이상 당하지 않게 됨.
2. 그러자 공격자들은 그보다 규모가 좀 작은 기업들을 노리기 시작함.
3. 그러면서 보안 업체들과 제2 금융권에 속한 조직들을 사칭한 공격이 증가 중.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>