가장 자주 사용되는 콤보스쿼팅 키워드: 'Support(지원)'
핵심 요약
도메인 스쿼팅(Domain Squatting) 및 URL 하이재킹이라고도 알려진 사이버스쿼팅(Cybersquatting)은 피싱 캠페인, ID 도용, 멀웨어 설치 시도 중 자주 사용됩니다.
콤보스쿼팅(Combosquatting)은 활성 도메인 수와 클릭 수 측면에서 타이포스쿼팅(Typosquatting)을 능가하며 오늘날 가장 큰 사이버스쿼팅 위협이 됐습니다.
Akamai는 가장 일반적으로 사용되는 콤보스쿼팅 키워드를 찾기 위해 글로벌 DNS 트래픽과 내부 악성 도메인 목록을 분석했습니다.
Akamai는 가장 인기 있는 50개의 콤보스쿼팅 키워드 샘플을 수집했습니다.
서론
공격자들은 매일 브랜드 웹사이트를 모방하고 있습니다. 실제 세계에서 모방 작업은 어렵습니다. 예를 들어, 필요한 물리적 건물을 구하기 어려울 수 있습니다. 하지만 온라인에서 공격자는 모방 도메인 이름이 포함된 잘 설계된 유사 사이트를 호스팅할 수 있습니다.
이러한 웹사이트는 원래 브랜드의 도메인과 매우 유사한 도메인 이름으로 호스팅되는 경우가 많습니다. 이를 사이버스쿼팅 도메인이라고 합니다.
악성 도메인을 분석한 결과, 콤보스쿼팅이 가장 큰 사이버스쿼팅 위협인 것으로 나타났습니다. 이 게시물에서는 DNS 트래픽에서 콤보스쿼팅을 탐지하는 방법을 설명하고 공격자들이 기업과 개인을 속이기 위해 사용하는 가장 일반적인 콤보스쿼팅 키워드를 제공합니다.
사이버스쿼팅이란 무엇일까요?
사이버스쿼팅 도메인은 공격자가 자신이 소유하지 않은 브랜드나 이름의 영업권을 이용해 이익을 얻기 위해 등록하고 사용하는 도메인 이름입니다. 사이버스쿼팅은 멀버타이징 등을 이용한 랜섬웨어 설치, 피싱, ID 도용을 시도하는 캠페인을 가능하게 하는 요소로 간주되는 경우가 많습니다.
사이버스쿼팅의 종류
현재 다양한 종류의 사이버스쿼팅이 이 있습니다. 표 1은 가상의 브랜드 safebank[.]com을 사용해 다양한 사이버스쿼팅의 차이를 설명합니다.
종류 |
설명 |
safebank[.]com 예시 |
|---|---|---|
콤보스쿼팅 |
브랜드 도메인에 키워드 추가 |
safebank-security[.]com |
타이포스쿼팅 |
문자 추가, 제거 또는 교체 |
safebqnk[.]com |
비트스쿼팅 |
임의의 ASCII 비트플립 |
sagebank[.]com |
IDN 동형이의어 |
비슷한 모양의 문자 사용 |
sǎfebank[.]com |
TLD 스쿼팅 |
TLD(Top Level Domain) 교체 |
safebank[.]co |
사운드스쿼팅 |
동음이의어 사용 |
savebank[.]com |
도트스쿼팅 |
하나 이상의 점 삽입 |
sa.febank[.]com |
표 1: 사이버스쿼팅의 종류
도트스쿼팅은 다양한 스쿼팅 중에서 추가 언급하고 있습니다. 기존 문헌을 연구하면서는 도트스쿼팅에 대한 언급을 찾을 수 없었습니다. 그러나 Akamai 데이터에서 해당 사례가 매우 자주 등장했기 때문에 표에 추가해도 되겠다고 판단했습니다. Akamai 팀 내에서 해당 사례를 도트스쿼팅이라 부르기 때문에 여기에서도 이 용어를 사용합니다.
다양한 스쿼팅이 상호 작용하는 방식
다양한 스쿼팅 중에서 특히 비트스쿼팅와 타이포스쿼팅은 중복되는 부분이 있습니다. 위의 비트스쿼팅 예시에서 그 이유를 알 수 있습니다. QWERTY 키보드에서 'g'는 'f' 옆에 있으므로 타이포스쿼팅으로 간주될 수도 있습니다.
해당 예시는 스쿼팅 종류가 겹칠 수도 있습니다. 단일 도메인 이름 내에서 safebank-security[.]co같이 여러 가지 스쿼팅이 결합될 수도 있습니다. 즉 콤보스쿼팅과 TLD 스쿼팅이 함께 사용된 것으로 볼 수 있습니다.
마지막으로 표 1에는 현재 사용 중인 모든 사이버스쿼팅이 포함되어 있지는 않습니다. 공격 기법은 발전하는 경향이 있으므로 향후 더 많은 종류의 사이버스쿼팅이 등장할 것입니다.
사이버스쿼팅을 통한 수익 창출
사이버스쿼팅으로 인한 재정적 피해와 영향은 오랫동안 존재했으며 기업과 개인 모두에게 여전히 엄청난 위협이 되고 있습니다.
사이버스쿼팅이라는 용어는 보다 일반적인 맥락에서 자주 사용됩니다. 일반적인 방법에는 도메인 이름 웨어하우징 과 도메인 이름 프런트러닝이 있습니다. 예를 들면 어떤 사람이 coke[.]net (TLD 스쿼팅)을 구매하고 Coca-Cola Company에 팔아 엄청난 수익을 내려고 하는 경우입니다. 일반적으로 발견되는 또 다른 수익화 종류는 히트 도용을 통한 제휴사 마케팅입니다. 예를 들어 payypal[.]com 을 등록하고 추천 코드를 통해 방문자를 공식 웹사이트로 리디렉션합니다. 이는 수없이 많은 시도를 통해 종종 성공을 거두게 됩니다. 과거에 이러한 성공 사례가 발생함에 따라 미국 사이버스쿼팅 방지 소비자 보호법(ACPA) 등의 다양한 법과 규제가 통과됐습니다.
사이버스쿼팅 성공 사례
2023년 Reddit은 특정 대상을 겨냥한 피싱 캠페인의 피해자가 되었습니다. 공격에는 사이버스쿼팅 도메인에 호스팅된 인트라넷 게이트웨이의 행동을 복제하는 웹사이트가 연관되어 있었으며, 이 웹사이트는 Reddit의 보안 인시던트 대응에 암묵적으로 언급되었습니다. 공격자들은 직원과 광고주의 제한된 정보에 접속할 수 있었습니다.
2011년에는 Facebook이 피해자가 되었는데, 간단한 철자 오류를 통해 생성된 100여 개의 유사 도메인 이름을 이용한 경우였습니다. 이후 Facebook은 약 280만 달러의 손해 배상을 받았습니다.
소비자도 직접 표적이 될 수 있습니다. 2022년 10월 Bleepingcomputer는 사람들이 멀웨어 감염 앱을 설치하게 하는 것이 목적인 광범위한 타이포스쿼팅 캠페인 을 보고했습니다. 피해자들은 키로거와 멀웨어에 감염되어 은행 계정과 암호화폐 지갑의 인증 정보를 도난당했습니다.
콤보스쿼팅의 인기
Akamai의 2022년 분석에 따르면 고유한 도메인 이름 측면에서 콤보스쿼팅이 가장 일반적으로 관찰되고 있습니다. 즉 공격자들은 공격 기법의 일환으로 다른 종류의 사이버스쿼팅보다 콤보스쿼팅을 훨씬 더 자주 사용하고 있습니다.
또한 콤보스쿼팅은 DNS 쿼리를 가장 많이 생성하는 것으로 보이며, 이들 각 쿼리는 악성 도메인을 방문한 잠재적 피해자를 나타냅니다.
이러한 두 가지 요소로 인해 Akamai는 콤보스쿼팅이 가장 큰 사이버스쿼팅 위협이 된다고 분석했습니다.
주목을 앗아가는 타이포스쿼팅
이 인사이트는 2017년에 콤보스쿼팅을 중심으로 실시한 대규모 연구 의 결과와 일맥상통합니다. "도메인 콤보스쿼팅이 도메인 타이포스쿼팅보다 100배 더 많이 발생한다는 것을 알게 되었습니다."
이 모든 결과에도 불구하고 콤보스쿼팅이 아니라 타이포스쿼팅이 연구, 블로그, 잡지에서 가장 많은 주목을 받고 있는 것 같습니다. Akamai는 타이포스쿼팅에 대한 이러한 관심을 뒷받침하는 데이터를 찾을 수 없었습니다. 지금까지 살펴본 데이터를 살펴보면 공격자들은 주목받지 않고 콤보스쿼팅을 계속 사용할 수 있으므로 타이포스쿼팅에 관심이 집중되는 것에 대단히 만족하고 있을 것입니다.
콤보스쿼팅의 키워드
기억하세요. 콤보스쿼팅은 브랜드의 도메인에 키워드가 추가되는 사이버스쿼팅의 한 종류입니다. 다음은 safebank[.]com에 대한 몇 가지 예입니다.
safebank-members[.]com
mysafebank[.]com
login-safebank[.]com
하지만 키워드를어떻게 정의할까요? 위의 예시에서 'members', 'my', 'login(로그인)' 등의 키워드가 브랜드 'safebank'에 하이픈(login-safebank) 또는 단순 연결(mysafebank)을 통해 직접 연결됐습니다.
표 2에서 볼 수 있듯이 아래의 키워드는 특정 감정을 불러일으킵니다.
키워드 |
감정 |
|---|---|
verification(인증), account(계정), login(로그인) |
안전, 권한 |
now(지금), alert(경고) |
긴급성 |
free(무료), promo(프로모션) |
놓칠지도 모른다는 두려움 |
표 2: 키워드와 키워드가 불러일으키는 감정의 예시
브랜드 이름이 포함되었다고 해서 정상적라고 할 수 없습니다
브랜드 이름(safebank)은 링크를 정상적으로 보이게 만듭니다. 링크에 브랜드 이름이 포함되어 있다는 사실만으로 안전하지는 않다는 것은 당연한 사실입니다. 상표가 있는 브랜드 이름이 포함된 도메인 이름을 등록하는 것을 막을 수 있는 방법은 없습니다. 여기서 공격자의 목표는 사용자의 이성적 반응이 아닌 빠르고 감정적인 반응을 유도하는 것입니다. 브랜드를 키워드와 결합하는 것은 이 목표를 달성하기 위한 현명한 방법처럼 보입니다.
그렇다면 이 지식을 이용해 어떻게 사람들을 보호할 수 있을까요?
Akamai 사이버 보안 연구팀은 가장 강력한 무기를 보유하고 있습니다. 바로 데이터입니다! Akamai는 악성으로 분류한 방대한 도메인 목록을 확인할 수 있습니다. Akamai는 이 목록을 고객과 공유하고 고객이 인터넷을 검색하는 최종 사용자를 보호할 수 있도록 합니다. 이와 더불어 Akamai는 DNS 트래픽 데이터를 사용해 정상 도메인과 악성 도메인을 모두 포함하는 새롭게 관측된 도메인에서 키워드 트렌드를 확인할 수 있습니다.
데이터 기반 키워드 검색
Akamai가 분석에 사용한 데이터 세트에는 악성 피싱 도메인만 포함되어 있다는 것을 주목해야 합니다. 이를 통해 공격자들이 현재 활발하게 사용하고 있는 키워드에만 집중할 수 있었습니다. 모든 입력값은 여러 내부 프로세스를 통해 피싱으로 지정해 정확성을 보장했습니다. 이 섹션에서는 일반적인 키워드 목록을 수집한 방법에 대해 간략하게 소개합니다.
분석 시작
앞에서 살펴본 것처럼 키워드는 하이픈으로 브랜드에 추가되거나 브랜드에 직접 연결되었습니다.
하이픈으로 연결된 키워드는 찾기 쉽습니다. 하이픈은 자연 구분 기호이므로 하이픈으로 도메인 이름을 분리하면 됩니다. 예를 들면 다음과 같습니다. 도메인 amazon-e[.]com이 있다고 가정하겠습니다. 하이픈은 브랜드 이름 amazon 과 키워드 e를 쉽게 구분할 수 있는 단서입니다. 매우 간단하죠.
그러나 연속적으로 연결된 키워드는 분리하기가 훨씬 더 까다롭습니다. 언어, 현지화된 브랜드, 심지어 브라우징 행동 등 다양한 지식이 필요합니다. 키워드 중복이 일반적인 예입니다.
그럼 amazone[.]com을 살펴보겠습니다. 여기에서 브랜드가 Ama (이탈리아 가죽 스니커즈 제조업체)인지 Amaz (그리스 여성 의류 디자이너)인지 아니면 Amazon (미국 기술 기업)인지 알 수 없습니다. 이 도메인에는 zone, one, e같은 키워드가 포함될 수 있으며 모두 유효할 수 있습니다.
도메인 필터링
이제 작업을 크게 간소화합니다. 추출하기 쉬운 첫 번째 종류의 키워드, 즉 하이픈을 포함하는 도메인 이름으로 분석을 제한합니다. 이 하위 집합의 분포는 데이터 양이 너무 많기 때문에 전체 데이터 집합의 분포를 따라야 합니다.
간단히 말해, 초기 프로세스는 네 가지 주요 단계가 포함되었습니다.
피싱 목록의 도메인 이름을 입력값으로 사용합니다.
TLD를 제거합니다.
나머지 목록을 필터링해 일반 브랜드 이름을 찾습니다.
하이픈으로 구분합니다
이 네 단계를 완료한 후 결과 단어를 대규모 목록으로 수집합니다. 그런 다음 브랜드 이름을 제거해 목록을 정제하고 키워드만 남겼습니다. 마지막으로 모든 키워드를 수집하고 계수했습니다.
가장 인기 있는 콤보스쿼팅 키워드 50개
위의 필터링 프로세스를 통해, 인기 브랜드를 노리는 가장 인기 있는 콤보스쿼팅 키워드만 찾았습니다. 과거에 피싱 도메인으로 모두 확인된 입력값을 사용했기 때문에 결과가 사실임을 알 수 있습니다.
표 3에서 이 프로세스를 통해 추출한 상위 10개 콤보스쿼팅 키워드를 인기에 따라 나열했습니다. 포괄적인 상위 50개의 목록 은 GitHub를 참고하시기 바랍니다.
순위 |
키워드 |
|---|---|
1 |
support(지원) |
2 |
com |
3 |
login(로그인) |
4 |
help(도움) |
5 |
secure(보안) |
6 |
www |
7 |
account(계정) |
8 |
app(앱) |
9 |
verify(인증) |
10 |
service(서비스) |
표 3: 인기에 따라 분류한 상위 10개 콤보스쿼팅 키워드
이를 통해 공격자가 피해자를 속이기 위해 어떤 키워드를 활용하고 있는지 명확하게 파악할 수 있습니다. 보시는 바와 같이 가장 일반적으로 사용되는 콤보스쿼팅 키워드는 'support'입니다. 정상적인 support(지원) 페이지가 사이트 내의 포털인 경우가 많기 때문에 URL이 support[.]company-name[.]com 같은 형식으로 표시되는 경우가 있기 때문일 것입니다.
예상치 못한 키워드
놀라운 키워드는 'com'이었습니다. 이 키워드의 순위가 이렇게 높을 것으로 예상하지 못했고 데이터 기반 접근 방식과 방대한 데이터 세트가 없었다면 알 수 없을 것입니다. 해당 예시로는 accountpaypal-com[.]info 와 com-apple[.]co등이 있습니다.
또 다른 키워드는 일본을 의미하는TLD인 'jp'입니다. 해당 예시로는 apple1-jp[.]com 과 jp-rakuten[.]com등이 있습니다. 목록에서 TLD 코드인 키워드는 'US', 'UK', 'FR' 등이 있습니다. 이는 해당 국가가 가장 자주 표적이 되고 있다는 것을 의미할 수 있습니다.
결론
사이버스쿼팅의 잠재적 적용 사례는 무수히 많으며, 표적이 되는 피해자는 개인 소비자부터 대기업까지 다양합니다. 따라서 사이버스쿼팅으로 인한 전체 피해를 측정하기는 어렵습니다. 또한, 사이버스쿼팅 캠페인은 심각하게 축소 보고되고 있습니다. 대규모 기업이 영향을 받은 경우에만 언론에 보도되는 식입니다.
대규모 인시던트와 그보다 규모가 작은 유사 인시던트는 수익성이 높으며 공격자 행동에 대한 이해를 높이기 위해 이와 같은 분석을 수행하는 것이 중요합니다.
Akamai는 추가 분석을 위해 이들 위협을 지속적으로 모니터링하고 그 결과를 커뮤니티와 공유할 것입니다. 최신 보안 리서치를 확인하려면 Twitter에서 Akamai를 팔로우하세요.
