도메인 스푸핑이란? | 웹 사이트와 이메일 스푸핑

도메인 스푸핑이란?

도메인 스푸핑은 사이버 범죄자가 웹 사이트 이름이나 이메일 도메인을 위조하여 사용자를 속이는 것을 말합니다. 도메인 스푸핑의 목적은 사용자를 속여 악의적 이메일이나 피싱 웹 사이트가 합법적인 것처럼 보이도록 하는 것입니다. 도메인 스푸핑은 사기꾼이 누군가에게 가짜 자격 증명을 보여주어 신뢰를 얻은 후 이득을 취하는 것과 비슷합니다.

도메인 스푸핑은 피싱 공격에 사용되는 경우가 많습니다. 피싱 공격의 목적은 계정 로그인 자격 증명이나 신용카드 세부 정보와 같은 개인 정보를 훔쳐 피해자가 공격자에게 돈을 송금하도록 속이거나 사용자가 맬웨어를 다운로드하도록 유도하는 것입니다. 도메인 스푸핑은 광고주를 속여 광고비를 지불하는 웹 사이트가 아닌 다른 웹 사이트에 표시되는 광고에 대해 광고비를 지불하도록 유도하여 광고 사기를 수행하는 데에도 사용될 수 있습니다.

도메인 스푸핑은 DNS 스푸핑 또는 캐시 포이즈닝과 구별되며, BGP 하이재킹과도 구별됩니다. 이는 단순히 이름을 위조하는 것보다 더 복잡한 방법으로 사용자를 잘못된 웹 사이트로 유도하는 다른 방법입니다.

도메인이란?

도메인(더 정확하게는 도메인 이름)은 웹 사이트의 전체 이름입니다. "cloudflare.com" 은 도메인 이름의 한 예입니다. 회사 및 조직의 경우 도메인은 "@" 기호 뒤에 직원의 이메일 주소에 표시됩니다. 개인 이메일 계정은 "gmail.com" 또는 "yahoo.com"을 도메인으로 사용하지만, 회사 이메일은 일반적으로 회사 웹 사이트를 사용합니다. (도메인에 대해 자세히 알아보려면 DNS란?을 참조하세요.)

도메인 스푸핑의 주요 유형은?

웹 사이트/URL 스푸핑

웹 사이트 스푸핑은 공격자가 사용자가 알고 신뢰하는 합법적인 웹 사이트의 URL과 매우 유사하거나 심지어 복사한 URL로 웹 사이트를 구축하는 것을 말합니다. 공격자는 URL을 스푸핑하는 것 외에도 이미지와 텍스트가 포함된 웹 사이트의 콘텐츠와 스타일을 복사할 수 있습니다.

공격자는 URL을 모방하기 위해 다른 언어의 문자나 일반 ASCII 문자와 거의 똑같이 생긴 유니코드 문자를 사용할 수 있습니다. (이를 호모그래프 공격이라고 합니다.) 그럴듯한 정도가 떨어지는 스푸핑 URL은 URL에 정기적으로 사용되는 문자를 추가하거나 대체하여 사용자가 눈치채지 못하도록 할 수 있습니다.

이러한 가짜 웹 사이트는 일반적으로 피싱과 같은 범죄 활동에 사용됩니다. 합법적으로 보이는 URL이 포함된 가짜 로그인 페이지에서 사용자를 속여 로그인 자격 증명을 제출하도록 유도할 수 있습니다. 스푸핑된 웹 사이트는 사기나 장난에 사용될 수도 있습니다.

이메일 스푸핑

이메일 스푸핑은 공격자가 합법적인 웹 사이트의 도메인이 포함된 가짜 이메일 주소를 사용하는 것을 말합니다. 이는 도메인 인증이 이메일의 기반이 되는 프로토콜인 단순 메일 전송 프로토콜(SMTP)에 내장되어 있지 않으므로 가능한 일입니다. DMARC 및 DKIM과 같이 최근에 개발된 이메일 보안 프로토콜에서는 더욱 강력한 인증 기능이 제공됩니다.

공격자는 피싱 공격에 이메일 스푸핑을 사용하는 경우가 많습니다. 공격자는 도메인 이름을 스푸핑하여 피싱 이메일이 합법적인 것처럼 사용자를 속입니다. 회사 담당자가 보낸 것처럼 보이는 이메일은 임의의 도메인에서 보낸 이메일보다 언뜻 보기에 더 그럴듯합니다.

피싱 공격의 목적은 사용자가 특정 웹 사이트를 방문하거나, 맬웨어를 다운로드하거나, 악의적 이메일 첨부 파일을 열거나, 계정 자격 증명을 입력하거나, 공격자가 제어하는 계정으로 돈을 이체하도록 유도하는 것일 수 있습니다.

이메일 스푸핑은 웹 사이트 스푸핑과 함께 사용되는 경우가 많습니다. 이는 이메일이 사용자가 공격 대상 계정의 사용자 이름과 비밀번호를 입력해야 하는 스푸핑된 웹 사이트로 연결될 수 있기 때문입니다.

광고에서의 도메인 스푸핑

광고 사기를 저지르는 사람은 자신이 소유한 웹 사이트의 이름을 위조하여 트래픽의 실제 출처를 가리고 스푸핑된 도메인을 광고주 입찰에 제공합니다. 그러면 디스플레이 광고가 광고주가 원했던 웹 사이트가 아닌 원치 않는 웹 사이트에 게재됩니다.

사용자는 도메인 스푸핑으로부터 자신을 보호하려면 어떻게 해야 할까요?

출처를 살펴봅니다.출처가 이메일 링크인가요?예상했던 이메일이었나요?예상치 못한 요청과 경고는 사기꾼이 보내는 경우가 많습니다.

URL을 자세히 살펴봅니다.속하지 않는 문자가 추가되어 있나요?URL을 복사하여 새 탭에 붙여넣어 보세요. 여전히 동일하게 표시되나요?(이렇게 하면 호모그래프 공격을 감지할 수 있습니다.)

SSL 인증서가 있는지 확인합니다.SSL 인증서는 웹 사이트를 식별하고 웹 사이트와 주고받는 트래픽을 암호화하는 데 도움이 되는 텍스트 파일입니다.SSL 인증서는 일반적으로 외부 인증 기관에서 발급하며, 인증 기관에서는 인증서를 발급하기 전에 인증서를 요청하는 당사자가 실제로 해당 도메인 이름을 소유하고 있는지 확인합니다(때로는 이러한 확인이 상당히 최소한에 그치기는 하지만).요즘에는 합법적인 웹 사이트에는 거의 모두 SSL 인증서가 있습니다.

SSL 인증서가 있는 경우 확인합니다.SSL 인증서에 나열된 도메인이 예상되는 이름인가요?(Chrome에서 SSL 인증서를 보려면 URL 표시줄에서 자물쇠를 클릭한 다음 "인증서를 클릭합니다.")스푸핑된 웹 사이트에는 실제 SSL 인증서가 있을 수 있지만, 실제 도메인 이름이 아닌 스푸핑된 도메인 이름에 대한 인증서일 수 있습니다.

중요한 웹 사이트를 북마크에 추가합니다.합법적인 웹 사이트의 브라우저 내 북마크를 모두 보관합니다.링크를 따라가거나 URL을 입력하는 대신 북마크를 클릭하면 매번 올바른 URL을 로드할 수 있습니다.예를 들어, "mybank.com"을 입력하거나은행 웹 사이트에 대하여 Google 검색을 수행하는 대신 해당 웹 사이트의 북마크를 만듭니다.

기업에서는 자체 도메인이 스푸핑되는 것을 어떻게 막을 수 있을까요?

SSL 인증서를 사용하면 공격자가 스푸핑된 도메인을 등록하는 것 외에도 스푸핑된 SSL 인증서를 등록해야 하므로 웹 사이트 스푸핑을 더 어렵게 만들 수 있습니다. (Cloudflare에서는 무료 SSL 인증서를 제공합니다.)

안타깝게도 이메일에서 도메인 스푸핑을 막을 수 있는 방법은 없습니다. 기업에서는 DMARC, DKIM 등의 프로토콜을 통해 보내는 이메일에 확인을 추가할 수 있지만, 외부 당사자는 이러한 확인 없이도 도메인을 사용하여 가짜 이메일을 보낼 수 있습니다.