URL 주소를 속이는 타이포스쿼팅 공격

저번주에도 비가 드문드문 왔었는데 이번주도 비 소식이 많다고 합니다. 이번 여름은 장마랑 태풍 때문에 고생하지 않았으면 하는 마음으로 에세이를 시작해보도록 하죠. 대신 오늘은 시작하기에 앞서 캠브릿지 대학의 연구 결과를 먼저 인용하고 가도록 하겠습니다. 이 연구에 따르면 사람이 단어를 인식할 때는 한 단어 안에서 글자의 순서는 중요하지 않고, 마지막 첫 번째와 마지막 글자가 원래 위치에 있는 것이 중요하다고 하는데요.

​

"왜하냐면, 흔히 발하생는 공격은 랜웨섬어이기 때문이다"라는 문장을 읽었을 때 별로 이상한 감을 느끼시지 못했다면 오늘 말씀드리는 내용을 잘 보시기 바랍니다. 이와 같은 문제는 이는 인간의 두뇌가 모든 글자를 하나하나 읽는 것이 아니라 단어 하나를 전체로 인식하기 때문이라고 합니다. 그럼 단순한 눈속임이지만 효과가 엄청나서 해커들이 자주 사용하는 타이포스쿼팅 공격에 대해 설명드려보죠.

​

타이포스쿼팅(Typosquatting)은 보통 URL 하이재킹(hijacking, 가로채기)라고도 부릅니다. 보통 사용자가 사이트의 URL 주소를 입력할 때 철자를 잘못 입력하거나 빠뜨리는 실수를 이용하여, 해커가 만들어 놓은 유사한 URL로 접속하도록 유도하는 공격인데요. 참고로 Typo는 오타를 의미하고, squatting은 유명 도메인을 먼저 선점하는 행위..라는 뜻입니다. 이 공격은 크게 2차 도메인을 속이는 방법과 최상위 도메인을 속이는 방법이 존재합니다.

​

이전 글인 "비트코인 계좌 해킹 사례"에서는 'bithumb.com'을 'bithnub.com'으로 바꿔서 공격했다고 말씀드렸죠. 이는 2차 도메인을 속이는 방법에 해당됩니다. 'google.com'을 'goggle.com'으로 바꾸는 등 오탈자를 이용하는 것이 대표적입니다. 또한 최상위 도메인을 속이는 방법은 '.com'을 '.net'이나 '.org' 등으로 바꾸는 방법이 있습니다.

​

그런데 최근 최상위 도메인이 다양해지고 있어서, 해커가 사용자들을 속이기가 더 쉬워졌다고 하는데요. 해커가 만든 유사 사이트의 경우 초기에는 통신을 할 때 암호화를 위한 SSL(TLS) 인증서의 적용 유무를 통해 구분할 수 있었는데, 이제는 해커가 이 사이트에 정상적인 인증서를 도입하면서, 브라우저 주소창에 안전하다는 의미의 자물쇠 모양 아이콘이 표시되어 쉽게 구분을 할 수 없는 지경에 이르렀습니다.

​

해커가 만든 유사 사이트는 결국 피싱 사이트라고 생각하시면 되는데, 사용자가 오타를 내서 직접 들어오거나 메일로 사용자가 URL을 클릭하도록 유도하겠죠. 결국 이런 타이포스쿼팅에 걸려들면 피싱 사이트에 접속하면 아이디와 패스워드를 입력하도록 로그인 페이지가 있을테고, 이를 입력해서 로그인 버튼을 누르는 순간 해커에게 정보가 넘어가는.. 이런 시나리오가 만들어질 겁니다.

 

쇼핑 시즌 대비한 공격자들, 타이포스쿼팅 사이트 대거 만들었다

 

위의 인용한 기사에서는 사용자가 유명 쇼핑 브랜드의 철자를 잘못쓰는 것을 노려 공격한 사례를 소개하고 있는데요. 많은 피싱 사이트들이 무료 SSL 인증서를 발급 받아서, 사용자에게 더욱 신뢰(?)를 주고 있어서 문제가 된다고 말하고 있습니다. 그런데 아직 SSL 인증서에 대해서는 자세히 말씀을 드리진 않았죠. SSL 인증서에 대해 말씀드리려면 암호화나 전자서명 같은 내용에 대해 설명드려야하기 때문에 이는 추후 에세이에서 이어가도록 하겠습니다.

 

마지막으로 타이포스쿼팅을 예방하기 위한 한 가지 팁을 드리자면, 특정 사이트에 접속할 때는 주소를 직접 입력하거나 메일 본문 등에 있는 URL을 클릭해서 들어가기보다 신뢰할 수 있는 포털 사이트를 통해 검색한 뒤 접속하는 것 입니다. 물론 이 신뢰할 수 있는 포털 사이트를 잘못쳐서 피싱 사이트로 들어갔다면.. 어쩔 수 없지만 그래도 이게 좀 더 안전한 방법이겠죠. 그래서 오늘은 타이포스쿼팅에 대해 정리를 해봤습니다. 그럼 여기까지 말씀드리고 줄이도록 하죠. 감사합니다.