도메인 어뷰징이란 무엇인가요?

도메인 남용은 도메인 시스템의 안타까운 단점입니다. 이러한 남용은 악의적인 목적이나 기타 비윤리적인 활동을 위해 도메인 네임을 등록할 때 발생합니다.

이를 즉시 발견하여 처벌하지 않으면 도메인 이름의 정당한 소유자의 평판에 큰 손상을 입힐 수 있습니다.

이 블로그에서는 도메인 도용에 대해 자세히 알아보고 도용을 방지하는 방법에 대해 설명합니다.

도메인 남용 개요

도메인 도용은 사이버 범죄의 일반적인 형태이며, 점점 더 많은 공격이 보고되고 있습니다.

도메인 남용은 도메인 네임이 불법적인 목적이나 도메인 네임의 원래 사용 목적과 일치하지 않는 용도로 사용될 때 발생합니다. 소유자는 이러한 사용에 대한 의도나 지식이 없을 수 있습니다.

ICANN 은 도메인 남용 활동 보고(DAAR) 시스템 을 개발하여 다양한 유형의 도메인 남용을 식별하고 추적합니다. 이 시스템은 시스템에서 몇 가지 주요 보안 위협 유형을 인식합니다:

• SEO 스팸 - 도메인을 사용하여 다른 웹사이트로 다시 링크되는 저품질 페이지를 생성하여 검색 엔진 순위를 조작하는 행위입니다.
• 링크 방식 - 해당 사이트로의 트래픽을 늘리기 위한 목적으로 관련 없는 웹사이트 간에 링크를 생성하는 행위입니다.
• 멀웨어 배포 웹사이트에 멀웨어를 호스팅하여 방문자를 감염시키는 행위입니다.
• 스팸 이메일 합법적으로 보이는 도메인에서 스팸 이메일을 보내는 행위.

가장 일반적인 도메인 어뷰징 유형

가장 일반적인 도메인 남용 형태는 다음과 같습니다:

오타 스쿼팅

타이포스쿼팅 은 잘 알려진 조직의 도메인 이름과 유사한 도메인 이름을 등록하여 사용자가 URL을 잘못 입력하여 타이포스쿼터의 웹사이트로 연결되기를 바라는 사이버 스쿼팅의 한 형태입니다.

오타 스쿼터는 사이트의 광고 공간을 판매하거나 다른 인터넷 사기에 사용할 수 있습니다.

피싱

피싱 공격은 신뢰할 수 있는 출처에서 보낸 것처럼 보이지만 악성 링크나 첨부 파일이 포함된 이메일이나 문자를 보내는 것입니다.

타이포스쿼팅은 이메일이나 소셜 미디어 프로필에 있는 링크를 클릭하도록 사용자를 속이는 데 자주 사용됩니다.

사이버 스쿼팅

사이버스쿼팅은 상표권을 가진 이름을 도메인 이름으로 등록하여 나중에 재판매하거나 스팸 및 기타 악용의 플랫폼으로 사용하여 수익을 얻는 행위를 말합니다.

도메인 남용이 브랜드 신뢰와 평판에 미치는 해로운 영향

오타 스쿼트 및 사칭을 포함한 도메인 남용은 규모에 관계없이 모든 조직에 심각한 보안 문제를 야기합니다.

공격자는 유사 도메인을 악용하여 고객과 직원을 표적으로 삼아 자격 증명 도용, 평판 손상, 잠재적인 금전적 손실을 초래합니다.

타이포스쿼팅을 식별하고 해결하는 데 어려움이 있는 이유는 새로운 도메인 등록에 대한 가시성이 부족하기 때문에 악성 콘텐츠를 사후에 삭제하는 경우가 많으며, 이는 종종 심각한 피해가 발생한 후에야 이루어집니다.

도메인 어뷰징의 실체를 파헤치다: 탐지 및 식별을 위한 고급 기술

도메인 어뷰징 탐지 및 식별은 여러 구성 요소가 포함된 복잡한 프로세스입니다.

DNS 포렌식 및 분석

DNS 포렌식은 DNS 활동을 조사하여 무단 도메인 이름 등록, 이전 또는 기타 도메인 남용의 증거를 확인합니다.

위협 인텔리전스 통합

위협 인텔리전스 통합을 통해 조직은 과거 위협 인텔리전스 데이터와 함께 타사 데이터 소스를 활용하여 악의적인 목적으로 사용되는 새로운 도메인을 식별할 수 있습니다.

이를 통해 사용자 환경 내에서 이전에 식별되지 않았던 공격 벡터에 대한 추가적인 보안 계층을 제공합니다.

도메인 활동을 위한 행동 분석

행동 분석은 다음과 같은 행동을 모니터링하여 환경 내 도메인의 활동에 대한 가시성을 제공합니다:

도메인이 소유한 IP 주소 범위에서의 활동 (예: C2 호스트 IP 주소)

Domain name server (DNS) requests to resolve backdoors on subdomains of primary domains (e.g., www.<malicious_domain>).

WHOIS 데이터 모니터링 및 분석

도메인 남용을 감지하는 일반적인 방법은 본인 또는 소유하고 있는 다른 도메인으로 등록된 도메인에 대한 WHOIS 데이터를 모니터링하는 것입니다.

많은 도메인 등록기관이 월별 요금을 지불해야 하는 프리미엄 서비스(예: GoDaddy)를 제공하거나 호스팅하는 도메인에 대한 특정 정보를 모니터링할 때마다 요금을 부과하는 서비스(예: Namecheap)를 제공한다는 점을 알아두는 것이 중요합니다.

머신 러닝 기반 도메인 평판 점수

서포트 벡터 머신(SVM) 또는 인공 신경망(ANN)과 같은 머신 러닝 알고리즘은 도메인 이름 문자열의 패턴을 감지하는 데 사용됩니다. 이러한 패턴은 악의적인 목적으로 사용될 가능성이 있는 도메인을 감지할 수 있습니다.

패턴은 도메인 이름과 관련된 WHOIS 정보(등록자 정보, 등록기관 정보 등)를 분석하여 감지할 수 있습니다. 이러한 유형의 분석을 핑거프린팅이라고 합니다.

도메인 핑거프린팅 및 패턴 인식

핑거프린팅에서는 주어진 도메인 이름에 대해 일련의 속성(예: 문자 수, 하이픈 등)이 결정됩니다.

그런 다음 새 도메인이 발견되면 이 지문과 비교하여 알려진 불량 도메인 중 하나와 일치하는지 확인합니다.

패턴 인식에서는 알려진 잘못된 패턴 세트(예: 3단계 도메인의 일부인 'xyz')를 사용하여 알 수 없는 도메인과 일치하는지 여부를 판단합니다.

도메인 남용 방지: 효과적인 보호 전략

이러한 위협으로부터 고객, 직원 및 파트너를 보호하려면 도메인 관리 전략에 일련의 모범 사례를 구현해야 합니다.

도메인 남용 방지를 위한 3중 방어: DMARC, SPF, DKIM 구현하기

• 도메인 기반 메시지 인증 보고 및 규정 준수 (DMARC) 은 도메인 남용으로부터 보호하기 위해 SPF와 DKIM을 모두 활용하는 포괄적인 정책 프레임워크입니다. 도메인 소유자는 DMARC를 사용하여 SPF 및 DKIM 검사에 실패한 이메일에 대해 취할 조치를 지정할 수 있습니다.

이러한 이메일을 모니터링, 격리 또는 거부하도록 선택할 수 있습니다. 또한 도메인 소유자는 DMARC를 통해 이메일 공급업체로부터 자신의 도메인에서 보낸 이메일에 대한 인증 결과에 대한 보고서를 받을 수 있습니다. 

이 보고서는 무단 이메일 사용 및 잠재적인 도메인 남용 시도에 대한 귀중한 인사이트를 제공합니다. 도메인 소유자는 DMARC를 활용하여 피싱 및 이메일 스푸핑과 같은 악의적인 활동에 도메인이 무단으로 사용되는 것을 적극적으로 방지할 수 있습니다.

• SPF (Sender Policy Framework)는 관리자가 도메인의 무단 사용을 방지하기 위해 사용하는 이메일 유효성 검사 시스템입니다. SPF는 이메일 스푸핑을 방지하는 데 도움이 되므로 도메인 남용에 대한 강력한 방어 수단입니다. SPF는 도메인에 대해 인증된 이메일 서버를 지정함으로써 합법적인 서버만 해당 도메인을 대신하여 이메일을 보낼 수 있도록 합니다.

발신 서버가 승인되지 않은 경우 이메일이 의심스러운 것으로 표시되거나 완전히 거부되어 이메일 위조를 통한 도메인 남용 시도를 차단합니다.

• DKIM (DomainKeys Identified Mail)은 인터넷을 통해 전송되는 이메일의 출처를 확인하기 위한 암호화 방법입니다. DKIM은 이메일 무결성을 보장하여 도메인 남용에 대한 추가적인 보호 계층을 제공합니다. 이메일 콘텐츠가 전송 중에 변경되지 않았으며 이메일이 실제로 청구된 도메인에서 발신되었음을 확인합니다. 이를 통해 변조된 이메일과 관련된 도메인 남용을 방지하고 이메일 신뢰성을 강화할 수 있습니다.

SPF, DKIM, DMARC는 도메인 남용에 총체적으로 대응하는 강력한 이메일 인증 메커니즘 트리오를 구성합니다. 이러한 메커니즘은 권한이 없는 당사자가 도메인을 대신하여 이메일을 보내는 것을 방지하고, 이메일 무결성을 보장하며, 잠재적인 악용 시도에 대한 귀중한 피드백을 제공합니다.

DNSSEC(도메인 이름 시스템 보안 확장)

DNSSEC는 도메인 이름 시스템(DNS)의 확장 제품군으로, IP 주소만을 기반으로 하는 신뢰 대신 공개 키 암호화를 통해 DNS 데이터를 인증할 수 있습니다.

사이버 범죄자가 사용자를 악성 웹사이트로 리디렉션하거나 비밀번호나 신용카드 번호와 같은 민감한 정보를 가로채는 데 사용할 수 있는 DNS 스푸핑 및 캐시 포이즈닝과 같은 기타 DNS 포이즈닝 공격을 방지하기 위해 만들어졌습니다.

관련 읽기: DNS 인증이란 무엇인가요?

도메인 관리를 위한 이중 인증/다중 인증(TFA/MFA)

TFA/MFA는 계정이나 서비스에 액세스하기 위해 두 가지 이상의 서로 다른 인증 방법을 요구하는 보안 기능입니다.

이렇게 하면 사용자가 액세스 권한을 부여하기 전에 여러 채널을 통해 신원을 확인하도록 하여 무단 액세스를 방지할 수 있습니다.

이는 비밀번호 또는 PIN(개인 식별 번호)과 함께 사용되는 물리적 하드웨어 토큰 또는 SMS 코드를 사용하여 수행할 수 있습니다.

관련 읽기: 이메일 다단계 인증

TLS/SSL 인증서 및 HTTPS 적용

A TLS/SSL 인증서 는 올바른 키를 가진 사람만 읽을 수 있도록 암호화하여 인터넷을 통해 전송되는 민감한 데이터를 보호하는 데 사용됩니다.

웹 서버와 브라우저 간에 전송되는 데이터가 비공개로 안전하게 유지되도록 보장합니다. 동시에 인터넷을 통해 전송되므로 전송 중에 제3자가 이 정보에 액세스하지 못하도록 차단합니다.

관련 읽기: TLS 암호화란 무엇인가요?

DDoS 방어 및 트래픽 필터링

A 분산 서비스 거부(DDoS) 공격 은 여러 대의 컴퓨터가 웹사이트에 트래픽을 폭증시켜 일반 사용자가 액세스할 수 없게 만들 때 발생합니다.

이러한 유형의 공격은 속아서 공격에 가담한 피해자의 손상된 컴퓨터에서 발생하는 트래픽으로 웹사이트를 과부하시켜 다운시키는 것을 목표로 합니다.

DDoS 방어 서비스는 악성 트래픽이 웹사이트나 애플리케이션 서버에 도달하기 전에 필터링하여 이러한 공격을 방지하는 데 도움이 됩니다.

관련 읽기: DoS 및 DDoS 공격 이해

TI 통합 DRS 사용

도메인 남용을 방지하거나 완화하는 데는 예방 조치와 사후 조치라는 두 가지 주요 전략이 있습니다.

예방 조치는 도메인을 등록하거나 온라인에서 다른 악의적인 활동을 하기 전에 악의적인 행위자를 막는 데 중점을 두며, 사후 조치는 악의적인 행위자가 이미 사기나 악용을 저지른 후에 이를 탐지하는 데 중점을 둡니다.

도메인 남용을 신고하는 방법은 무엇인가요?

도메인 남용을 신고하는 것은 안전한 온라인 환경을 유지하기 위한 필수적인 단계입니다. 도메인 남용은 스팸, 피싱, 맬웨어 배포, 저작권 침해, 기타 악의적인 활동 등 다양한 형태로 나타날 수 있습니다. 악의적인 행위를 하는 도메인을 발견하면 다음 단계에 따라 신고하세요:

1. 정보 수집: 신고하기 전에 악용 도메인에 대한 관련 정보를 최대한 많이 수집하세요. 여기에는 도메인 이름, 특정 URL, 스크린샷, 이메일 헤더 및 주장을 뒷받침할 수 있는 기타 증거가 포함될 수 있습니다.
2. 어뷰징 활동 식별: 어뷰징 유형에 따라 다른 기관에 신고해야 할 수 있으므로 도메인이 연루된 어뷰징 유형(스팸, 피싱, 멀웨어 등)을 파악합니다.
3. 도메인 등록기관에 문의합니다: 도메인 등록기관에 문의하는 것부터 시작하세요. ICANN의 WHOIS 조회(https://whois.icann.org/)와 같은 WHOIS 조회 도구를 사용하여 등록기관의 정보를 찾을 수 있습니다. 결과에서 '등록기관 남용 연락처 이메일' 또는 '등록기관 남용 연락처 전화'를 찾습니다. 해당 연락처로 연락하여 남용 도메인의 세부 정보와 함께 남용 증거를 제공합니다.
4. 호스팅 제공업체에 문의: 가학적인 행위가 콘텐츠 호스팅과 관련된 경우 해당 웹사이트 또는 콘텐츠 호스팅을 담당하는 호스팅 제공업체에 문의하세요. 등록기관을 찾는 것과 마찬가지로 WHOIS 정보를 사용하여 호스팅 제공업체를 식별하고 남용 관련 연락처 정보를 찾습니다. 남용의 증거도 함께 제공하세요.
5. 관계 당국에 신고: 남용의 성격에 따라 관련 기관에 신고해야 할 수도 있습니다. 예를 들어 피싱 공격은 피싱 방지 워킹 그룹(APWG) 또는 미국의 연방거래위원회(FTC)와 같은 기관에 신고해야 합니다. 저작권 침해의 경우 웹사이트의 호스팅 제공업체에 문의하거나 중대한 위반인 경우 DMCA 게시 중단 통지를 제출할 수 있습니다.
6. 온라인 학대 신고 양식 사용: 많은 조직과 회사에서 사이버 폭력 신고를 위한 온라인 양식을 제공합니다. 예를 들어 Google은 피싱 사이트 및 기타 유형의 어뷰징을 신고할 수 있는 전용 양식을 제공합니다.
7. 인터넷 서비스 제공업체(ISP)에 알리기: 악의적인 도메인이 ISP를 통해 스팸을 보내거나 기타 악의적인 활동을 하는 경우 ISP에 직접 연락하여 필요한 증거를 제공하세요.
8. CERT(컴퓨터 긴급 대응팀)에 신고하기: CERT는 특정 지역이나 부문에서 사이버 보안 사고를 처리하는 팀입니다. 해당 국가나 조직에 CERT가 있는 경우 도메인 남용을 CERT에 신고할 수도 있습니다.

마지막 말

도메인 남용을 이해하는 것은 디지털 환경의 무결성을 보호하는 데 매우 중요합니다. 인터넷은 일상 생활에서 없어서는 안 될 부분이 되었으며, 인터넷의 중요성이 커짐에 따라 도메인 남용이 심각한 위협으로 부상하고 있습니다. 피싱 사기 및 멀웨어 배포부터 위조 웹사이트 및 지적 재산권 침해에 이르기까지 도메인 남용은 다양한 형태로 나타나며 그 영향은 치명적일 수 있습니다. 

사용자, 웹사이트 소유자 및 조직으로서 우리는 이러한 위협에 대해 경계를 늦추지 말고 적극적으로 대처해야 합니다. 강력한 보안 조치를 취하고, 도메인 활동을 정기적으로 모니터링하며, 의심스러운 행동을 즉시 신고하는 것은 도메인 남용을 억제하는 데 필수적인 단계입니다. 또한 개인과 기업에서 도메인 남용과 관련된 위험에 대한 인식을 높이면 모두에게 더 안전한 온라인 환경을 조성할 수 있습니다. 

도메인 등록기관, 법 집행기관, 인터넷 거버넌스 기관과 협력하여 디지털 영역을 모두를 위한 신뢰, 혁신, 기회의 장으로 만들기 위해 함께 노력할 수 있습니다. 도메인 이름의 신성함을 보호하고 현재와 미래 세대를 위해 우리가 소중히 여기는 개방적이고 접근 가능하며 안전한 인터넷을 보존하기 위해 함께 노력합시다.

• 정보
• 최신 게시물

아호나 루드라

Ahona는 도메인 및 이메일 보안을 전문으로 5년 이상 사이버 보안 주제에 대해 글을 써온 경력이 있는 PowerDMARC의 마케팅 매니저입니다. Ahona는 저널리즘 및 커뮤니케이션 학위를 취득한 후 2019년부터 보안 분야에서 경력을 쌓았습니다.

아호나 루드라의 최신 포스트 (전체 보기)

• 최고의 이메일 보호 팁과 전략 10가지 - 2024년 5월 15일
• 블록체인이 이메일 보안을 개선할 수 있을까요? - 2024년 5월 9일
• 데이터센터 프록시: 프록시 세계의 주력 제품 공개 - 2024년 5월 7일