가짜 올림픽 티켓 예매 웹사이트 홈페이지 [ⓒ프루프포인트]

[디지털데일리 김보민기자] 파리올림픽에 이어 대규모 정보기술(IT) 대란을 악용한 악성 도메인이 활개치기 시작했다. 눈속임에 특화된 악성 도메인이 일반 사용자를 대상으로 기하급수적 피해를 입힐 수 있다는 점을 고려했을 때, 국내에서도 '빠른 탐지'에 대한 고민이 깊어지는 분위기다.

1일 보안업계에 따르면 한국인터넷진흥원(KISA)은 최근 '악성 도메인 탐지시스템 고도화 솔루션 구매'라는 이름으로 입찰 공고를 게시했다. 사업 예산은 약 15억원 규모로, 지난달 31일 개찰을 진행한 결과 시큐레이어가 명단에 이름을 올렸다.

이번 사업은 탐지 대상을 확대하는 데 초점을 두고 있다. 악성 의심 도메인을 식별할 수 있는 역량을 강화해, 악성 의심 도메인 탐지 패턴을 다각화하는 것이 핵심이다. 피싱, 악성 코드, 앱 유포 등 악성 도메인으로 가해질 수 있는 추가 위협에 대한 대응 능력도 고도화하는 작업도 추진될 예정이다.

사이버 범죄자들은 국제 행사 혹은 IT 시스템 및 인프라 먹통 등에서 기회 요인을 찾아 일반 사용자를 대상으로 위협 행각을 고도화하고 있다. 특히 인공지능(AI) 서비스를 활용해 생성된 악성 도메인도 늘어날 것으로 예상되면서 한국을 포함해 주요국 조사당국 사이 경각심이 높아지는 추세다.

사이버 범죄자가 악성 도메인을 기반으로 위장 사이트를 생성하는 사례는 흔히 찾아볼 수 있다. 최근 파리올림픽을 가장한 공격 사례가 대표적이다. 웹사이트 '파리24티켓(paris24tickets)'의 경우 가짜 올림픽 티켓 판매 사실이 드러나 도메인 운영 중단 조치가 내려진 바 있다.

해당 사이트는 사용자를 속이기 위해 공식 예매 사이트 바로 아래 스폰서를 표기된 유료 검색 광고를 노출했다. 아울러 웹사이트에 접속하면 축구, 농구, 양궁, 배구 등 주요 올림픽 경기를 카테고리로 보여줬고, 사용자가 티켓 구매를 위해 이중 하나를 눌러 접속하면 결제 페이지로 화면을 전환했다. 이 과정에서 단순 결제 정보 뿐만 아니라 이름, 이메일, 집 주소, 전화번호 등 주요 개인정보를 추가 확보했을 것으로 예상되고 있다.

최근 크라우드스트라이크 업데이트 오류로 발생한 대규모 IT 대란을 노린 악성 도메인도 등장했다. 크라우드스트라이크로 위장한 도메인을 활용하는 방식이었는데, '블루스크린'과 같이 이번 사태와 연관된 키워드를 앞세워 사용자가 의심을 거둘 수 있도록 했다. 전형적인 악성 도메인 공격 방식으로, 이 과정에서 악성 프로그램이 숨겨진 압축파일로 사용자 기기를 침투하려는 시도도 발견됐다.

한국 또한 이러한 악성 도메인에 따른 피해를 줄이기 위한 노력을 가하고 있다. 관련 사업을 추진해 탐지 역량을 높일 뿐만 아니라, 해외 조사기관과 협력해 범세계적인 공격에 대한 대응책도 마련 중이다. 대표적으로 이번 IT 대란 당시 KISA는 해외로부터 관련 정보를 공유 받고 검증 작업을 펼친 바 있다.

다만 실제 탐지 역량을 높이기 위해서는 솔루션 단위를 넘어 보안 대응 사슬(체인)을 고도화해야 한다는 의견도 나온다. 보안업계 관계자는 "악성 도메인을 탐지하는 데 어려움이 큰 이유 중 하나는 도메인 생성 알고리즘(DGA) 때문"이라며 "DGA에 따라 악성 도메인이 빠른 속도로 생성되고, 등록된다는 어려움이 있다"고 설명했다.

사용자 단위에서 경각심을 갖고 대응하더라도 한계가 분명하다는 지적도 나온다. 공격자는 특히 공식 웹사이트 도메인에서 철자 한두 개를 바꾸는 방식으로 눈속임을 하는데, 사용자가 실수로 주소를 입력하게 된다면 즉각 공격 범위 내에 들어갈 수 있기 때문이다.

한편 글로벌 주요 보안업계에서는 올 하반기에도 악성 도메인을 내세워 공격을 가하는 사례가 늘어날 수 있다고 보고 있다. 마이크로소프트(MS)의 경우 북한, 중국, 러시아 등과 연계된 해커 조직이 생성형 AI 서비스를 이용해 위협 난도를 고도화하고 있다고 분석했고 맨디언트는 기밀 정보를 노리거나 금전적 이익을 노리는 사이버 스파이 활동이 높은 위협을 가할 것으로 전망했다.