클라우드 호스팅을 이용한 피싱 사례

오늘 에세이에서는 클라우드 호스팅을 사용한 피싱 사례에 대해 설명드릴까 합니다. 이전 "중고나라 안전결제 사기 사례" 글에서 해커들이 클라우드 서비스인 SaaS 형태의 피싱 사이트를 활용해서 사기를 친다고 말씀드렸던 적이 있었죠. 해커가 굳이 힘들게 네이버 안전결제 사이트를 똑같이 만들 필요 없이, 이런 피싱 사이트를 만들어서 제공하는 업체가 존재한다고 했습니다. 최근에는 이와 비슷한 사례가 많이 발생하고 있는데, 이번에는 정상 클라우드 서비스를 악용해서 좀 더 그럴듯하게 위장하는 피싱 사례에 대해 설명드리겠습니다.

​

클라우드 서비스라고 하면 가장 먼저 떠오르는 업체가 보통 아마존이죠. 아마존은 AWS(Amazone Web Service)라고 하는 클라우드 기반의 웹 서비스를 제공하고 있습니다. 사용자가 웹 서비스를 운영하기 위해 직접 PC를 사서 설치하고 웹 서버를 구축할 필요 없이, 클릭 몇 번만으로 웹 서버를 직접 구축한 것처럼 동일한 서비스를 이용할 수 있는데요. MS의 애저(Azure)나 구글의 GCP(Google Cloud Platform)도 마찬가지로 똑같은 서비스를 제공하고 있습니다.

​

만약 여러분이 AWS 서비스를 이용하여 웹 사이트를 운영하면, AWS 측에서 해당 사이트의 주소를 부여할 때 기본적으로 'OOO.Amazoneaws.com'을 받을 수 있습니다. 사람들이 보기에는 주소의 뒷 도메인을 보고 AWS에서 서비스를 제공한거니까 안전하다고 생각할 수 있겠죠. 그런데 말이죠.. 해커가 사람들의 이러한 심리를 이용해서 반대로 공격을 진행하면 어떻게 될까요? 피싱 사이트를 직접 구축한 서버의 IP와 도메인을 연결하는 것이 아닌, 처음부터 AWS에서 피싱 사이트를 만드는거죠. 그러면 사용자들은 도메인을 보고 안전하겠거니 생각하고 별 생각없이 들어갈 겁니다. 보통 이런 사이트는 온라인 데이팅 사이트나 기술 지원 사이트로 위장하여, 사용자들을 유인하고 개인정보를 탈취하게 되죠.

​

사실 해커들에게 있어서 AWS와 같은 클라우드 인프라 서비스의 등장은, 싼 가격에 더욱 효율적인 사기 범죄를 가능하게 만들어 준겁니다. 이전에는 피싱 사이트의 주소를 실제 서비스와 동일하게 만들려고 고민했다면, 이제는 클릭 몇 번만으로 많은 사용자들이 신뢰하는 도메인을 가지게 된거죠. 심지어 이런 방식은 해커가 메일에 피싱 사이트 URL 링크가 첨부해서 보낼 때, 메일 보안 솔루션에서 제공하는 URL 필터링 기능을 우회할 가능성도 높습니다. 화이트리스트 기반 필터링이라면 일반적으로 'amazoneaws.com'은 신뢰할 수 있는 사이트로 등록이 되어있을 것이기 때문이죠.

 

사이버 사기 범죄, 클라우드로 한층 강화되다

 

아직은 국내에서는 이런 클라우드 호스팅 기반의 피싱 사례가 보고 된 바는 없습니다. 하지만 외국에서 빈번하게 일어나는 만큼 저희도 조심해야할 필요는 있겠죠. 메일 본문의 URL 링크에 카페24나 가비아 같이 국내에서 유명한 클라우드 호스팅의 도메인을 가지고 있더라도 함부로 클릭하지 않도록 해야합니다. 아마 보안 업체에서는 이미 클라우드 호스팅을 이용한 피싱 사이트를 차단하는 방법을 연구하고 있을텐데요. 계속해서 말씀드렸듯이 기술이 좋아졌다고 해도 이에 따른 역기능도 존재하기 때문에, 기술의 발전이 항상 좋은 것만은 아닌 것 같다는 생각을 해봅니다. 오늘 말씀드릴 내용은 여기까지구요. 그럼 이만 마치겠습니다. 감사합니다.