브랜드를 사칭하는 스푸핑 공격 사례

오늘은 브랜드를 사칭하는 사례인 브랜드 스푸핑(Spoofing)이라는 공격에 대해 설명드려볼까 합니다. 여기서 말하는 브랜드는 우리가 아는 삼성, LG 같은 브랜드가 맞구요. 스푸핑이라는 개념 자체는 원래 네트워크 기반 공격에서 자주 나오는 내용인데요. 네트워크 공격 기법 중 하나인 DDoS는 "패킷 디도스 공격 사례"이미 한 번 설명드리긴 했지만, 자세하게 말씀드리지는 않았기에 별도로 공부를 하시지 않으셨다면 감을 잡기는 힘드셨을거라 생각합니다. 아마 이제 막 보안이나 네트워크를 공부하시는 분들이라면, 스니핑이니 스푸핑이니 하이재킹이니 하는 기법을 접하실텐데요. 오늘은 이 중 해커가 만든 가짜 사이트인데 실제 사이트인 것처럼 속여서 피해자의 정보를 빼내는.. 스푸핑에 대한 개념을 간단한 설명과 함께 기사를 갈무리하도록 하겠습니다.

​

그럼 스푸핑(Spoofing)부터 살펴보죠. 이 단어를 번역하면 '속이다' 또는 '위장하다' 정도로 쓸 수 있는데, 단순히 생각해서 다른 사람의 신분으로 위장해서 남을 속여버리는.. 공격 쯤으로 생각하면 됩니다. 그래서 네트워크 공격을 보다보면 IP 스푸핑이나 DNS 스푸핑을 접하실 수 있는데, IP 스푸핑은 IP를 속여서 공격하고, DNS 스푸핑은 DNS를 속여서 공격이다..라고 생각하시면 충분할 것 같습니다. 말 장난같지만 실제로 원리는 저렇기 때문에, 이후에 자세히 설명해드리도록 하고 지금은 저정도만 기억해두시면 충분합니다.

​

이 브랜드 스푸핑이라는 건 어찌 생각해보면 피싱 공격과 굉장히 유사하다고 생각하실 수도 있는데요. 실제로도 비슷하기 때문에 너무 딱딱 나눠서 생각하지 않으셔도 됩니다. 특정 브랜드 웹 사이트와 똑같은 사이트를 만들어서 고객의 개인정보를 빼내가는 공격.. 여기서는 개인정보 유출보다는 스푸핑이라는 개념에 좀 더 초점을 맞추시면 좋을 것 같습니다. 결국 이 스푸핑은 A와 B가 신뢰 관계이고 제3자인 C가 있을 때, C가 B에게 '나는 A야, 그러니까 믿고 정보를 줘도 괜찮아'라고 속여서 정보를 갈취하는.. 이런 시나리오를 생각하시면 될 듯 합니다.

​

그래서 여기까지 브랜드 스푸핑에 대한 개념을 설명드렸고, 그럼 기사에 나오는 주요 내용을 간단히 갈무리해보죠. 이전까지는 이 브랜드 스푸핑을 당했던 기업들은 애플이나 구글 같은 대기업이 주를 이루고 있었답니다. 하지만 이런 대기업이 자신들을 속이는 걸 가만히 두고 보진 않았겠죠. 해커들이 자신들을 사칭하는 웹 사이트를 만들자 마자 이를 박멸해 버리기 시작합니다. 대기업은 그만큼의 자본과 인력을 가지고 있으니까요. 그래서 해커들이 '아 여기는 안되겠다'라고 생각해서 눈을 돌린게 만만한 스타트업이나 중소기업입니다.

​

사실 생각해보면, 사칭 사이트를 만들자마자 대응을 해버리는 큰 회사보다는 이제 막 인력을 투입해서 보안까지 신경을 쓸 틈이 없는 작은 회사를 타겟으로 잡는게 더 쉽겠죠. 스타트업이나 중소기업에서는 고객을 빠르게 유치해야 하기 위해서 고객에게 더 많은 혜택을 주기 때문에, 고객들은 대기업의 서비스를 이용하더라도 혜택을 더 받기 위해 신규로 가입하려고 할 겁니다. 문제는 막 시작한 신생 기업의 경우 구글과 같은 대기업처럼 피싱 사이트가 생겨도 빠르게 없앨 수 있는 인력과 비용이 부족하겠죠. 그렇기 때문에 해커들은 자신들을 빨리 제거할 수 있는 구글과 같은 대기업을 타겟으로 삼는다기 보다는, 사칭 사이트를 만들고 나면 길게 유지될 수 있는 보다 작은 기업을 타겟으로 노리게 되는 겁니다.

 

브랜드 사칭 공격, 대기업 넘어 중소기업으로 번지는 중

 

이런 공격에 걸려서 개인정보를 털리지 않기 위해서는 결국 2차 인증과 같은 다중 인증을 해놓고, 사이트의 주소도 실제 내가 들어가려고 한 주소가 맞는지 더 확인하는 법 밖에는 없을 듯 합니다. 사용자가 알아서 조심해야 하는게 아이러니 하지만, 사실 기업에서 해킹을 당해서 개인정보가 유출된 것이 아니라, 이런식으로 해커가 기업을 사칭해서 개인정보가 유출되는 건 기업의 책임 범위를 벗어나기 때문이죠. 자.. 그래서 오늘 설명드릴 내용은 여기까지구요. 종종 네트워크 공격에 대해서도 설명드릴텐데, 흥미로운 기사와 함께 잘.. 설명드리도록 노력해보겠습니다. 그럼 여기서 마치겠습니다. 감사합니다.