피싱에 자주 이용되는 도메인 특성 분석해 신종사기 막는다

피싱에 자주 이용되는 도메인 특성을 분석해 신종사기를 막는 방법이 나왔다. 현실 세계에서 범죄자를 수사하듯 악의적 용도로 도메인을 등록하는 조직 이름과 이메일, IP 정보 등을 분석한다.

이재광·김도희 한국인터넷진흥원 사고분석팀 연구원은 ‘프로파일링 기법을 활용한 피싱 도메인 대응체계’를 연구했다. 피싱은 국내외 유명기관을 사칭해 개인이나 금융정보를 수집한 뒤 이를 악용해 금전적 이익을 노리는 신종 사기수법이다.

 

<도메인을 등록하는 이름과 이메일, IP 정보를 분석하면 조직적으로 움직이는 것을 파악할 수 있다.>

 

피싱은 급증하고 있지만 각 침해사고에 따라 개별적으로 대응해왔다. 사고별로 대응책을 마련하는 데 많은 시간이 걸렸다. 이런 대응은 공격 유형이 조금만 바꿔도 효과가 급감한다.

KISA는 악성도메일 프로파일링을 피싱 감소 해결책으로 제시했다. 도메인은 인터넷에 연결된 컴퓨터를 사람이 쉽게 기억하고 입력할 수 있도록 문자로 만든 인터넷 주소다. 도메인이 피싱이나 악성코드 유포 등 범죄 목적으로 쓰이면 악성으로 분류할 수 있다.

KISA는 지난해 1월 1일부터 10월 20일까지 등록된 도메인을 분석해 특정 그룹이 다수 악성도메인을 등록하는 것을 발견했다. 이 기간 동안 탐지돼 차단된 피싱 도메인 중 17%가 Long Piao그룹으로 분류됐다. 뒤이어 Shan wang 14%, WHIOS AGNET 7% 순이다.

Long Piao그룹은 총 292건에 달하는 피싱 도메인을 차단당했지만 여전히 운영 중인 도메인이 490건에 이른다. 나머지 도메인도 피싱 등 악의적 용도로 사용될 가능성이 높다. KISA는 특정 도메인등록자 그룹 정보로 등록된 도메인을 모니터링하면 이전에 탐지되지 않은 피싱사이트도 사전에 차단할 수 있다고 분석했다.

피싱 도메인을 프로파일링하니 등록자마다 자주 악용하는 메일이 발견된다. 수백개 도메인을 등록할 때 사용하는 이메일은 3~4개에 국한된다. 모든 메일을 똑같은 횟수로 고르게 사용하기보다 특정 메일에 편중된다.

IP대역도 범죄자를 가려내는 단서다. 피싱 도메인은 특정 IP대역에 집중적으로 분포된다. Long Piao와 관련된 피싱 사고 66건 모두 126.x.x.x 대역에서 형성됐다.
도메인명도 특징이 있다. 대부분 피싱 도메인은 사칭하고자하는 기관 도메인 문자열 일부를 사용하거나 유사하게 구성된다. spo를 포함한 피싱 도메인은 대검찰청(www.spo.go.kr) 형태다.

이재광 선임연구원은 “도메인등록자, 이메일, IP대역 간 연관성을 분석해 피싱 도메인을 추적할 수 있다”며 “이 특징점을 가진 도메인을 집중 관리하고 모니터링하면 피싱 피해를 줄일 수 있다”고 설명했다.

 

출처: 전자신문 http://www.etnews.com/20150415000122

김인순 기자  insoon@etnews.com