Akamai Diversity

Akamai 블로그

CDN 관점에서 보는 피싱 피해자

CDN(콘텐츠 전송 네트워크) 플랫폼을 제공하면서 인터넷상의 발생하는 공격의 일부를 관측하기도 합니다. 이 블로그에서는 Akamai 플랫폼이 전송하지 않는 피싱 웹사이트가 Akamai 플랫폼이 전송하는 페이지로 피해자를 리디렉션하거나 레퍼링하는 공격에 대해 집중적으로 살펴봅니다.

Akamai CDN 로그를 사용하여 Akamai의 고객들과 직접 관련은 없지만 여전히 리소스를 소모하고 사용하는 도메인 1,221개(URL 1,381개)를 확인할 수 있었습니다. 퍼블릭 위협 인텔리전스 리소스에 따르면, 피싱 캠페인이 활성화되고 며칠이 지나도 URL의 20%가 악성으로 파악되지 않았습니다.

글로벌 가시성을 기반으로 파악했을 때 4개월 동안 240만 명이 넘는 피해자가 발생한 것으로 추정됩니다. 하지만 실제 수치는 훨씬 더 높을 것으로 예상됩니다.

피해자 트래픽에 대한 인사이트와 더불어 20개 이상의 브랜드가 이러한 피싱 공격에 악용되었다는 것을 알 수 있었습니다. 이런 브랜드의 대부분은 미디어와 이커머스 업계의 브랜드입니다.

피싱 웹사이트와 관련된 트래픽이 CDN 플랫폼에 나타나는 이유는 크게 세 가지입니다.

  • 피싱 웹사이트는 원본 또는 악용된 브랜드 페이지를 사용합니다. 이는 매우 일반적인 기법입니다. 범죄자가 악용하는 브랜드와 유사하거나 동일하게 보이는 웹사이트를 만들어서 피해자가 안전한 웹사이트라고 착각하도록 유도할 때 사용됩니다. 안전하고 신뢰할 수 있는 웹사이트라고 판단되면 피해자들은 개인 정보 또는 민감한 정보를 건네주게 되는 경우가 많습니다. 잘못된 판단을 유도하기 위해 피싱 웹사이트는 이미지와 CSS(Cascading Style Sheets) 페이지 등 원본 웹사이트의 리소스 일부를 활용하기도 합니다.
  • 피싱 웹사이트는 합법적인 라이브러리와 서비스를 사용합니다. 피싱 웹사이트는 피싱 키트의 기능에 포함되는 페이지 분석이나 JavaScript 라이브러리와 같은 모든 종류의 서비스를 사용할 수 있습니다. 이러한 라이브러리와 서비스가 CDN 플랫폼을 통해 전송되는 경우 피해자가 브라우저에서 악성 도메인을 렌더링하면 CDN에서 해당 서비스를 사용하게 됩니다.
  • 피싱 웹사이트가 원본 또는 악용된 브랜드 페이지로 리디렉션됩니다. 피싱 웹사이트에서 사용되는 잘 알려진 기법 중 하나는 피싱 사기의 특정 시점에 피해자를 원본이나 악용된 웹사이트로 리디렉션하는 것입니다. 그렇게 되면 피해자에게 모든 것이 문제가 없고 안전하다는 인식을 주게 됩니다. 

그렇다면 CDN 플랫폼에서 나타나는 트래픽을 피싱 웹사이트와 어떻게 연관시킬 수 있을까요?

웹사이트 A가 사이트 B에서 웹페이지를 사용한 후에 사용자의 브라우저가 B 사이트에 대한 요청을 시작하면 사이트 B에 대한 요청에는 '레퍼러(referrer)'라는 HTTP 헤더가 포함되고 헤더 값에는 참조웹사이트의 이름이 포함됩니다.

이렇게 3단계가 진행된 후에 CDN 플랫폼에서 콘텐츠를 요청하면 해당 콘텐츠에 대한 요청에는 피싱 웹사이트의 이름이 포함됩니다.

연구의 일환으로 Akamai 플랫폼을 레퍼링하는 웹사이트 중 일부만 평가했고 여러 피싱 공격에 대한 의미 있는 인사이트를 발견할 수 있었습니다. 더욱 중요한 것은 피해자 수를 정확하게 파악했다는 점이며 이러한 가시성이 발표되는 경우는 매우 드뭅니다.


업계별로 탐지된 피싱 웹사이트 및 브랜드

연구 결과 활성 피싱 도메인 1,221개(URL 1,381개)가 발견되었습니다. 다시 말하지만 이러한 도메인은 Akamai의 고객들과 직접 관련은 없지만 피싱 사기의 일환으로 리소스를 계속 소모 또는 사용합니다. 이 연구는 샘플 데이터세트만 사용했기 때문에 Akamai 전체에서 리소스를 사용하는 피싱 웹사이트 수가 훨씬 많을 것으로 파악됩니다.

그림 1: 매주 탐지되는 피싱 URL의 수 


매주 탐지되는 피싱 URL의 수를 살펴보면(그림 1), 추수감사절 주간에 현저한 상승세를 보이는데 연말연시를 앞두고 모멘텀이 강력해지는 것을 확인할 수 있습니다. 이러한 급증세는 피해자 수에서도 나타납니다(그림 3).

Akamai가 관측한 피싱 URL 중 미디어와 이커머스 브랜드를 악용하는 경우가 84%로 대부분을 차지했습니다. 나머지 URL은 금융, 첨단 기술, 데이트 업계의 URL입니다.

그림 2: 업계별 피싱 URL 수 

피해자

피해자 수는 240만 명을 넘는 것으로 추정되며, 실제로는 훨씬 더 많다는 것을 보여 주는 추가적인 증거가 있습니다. 


그림 3: 4개월간의 주간 피해자 수  

분석에 사용한 데이터는 제한적이었지만, 전 세계적으로 데이터를 샘플링했습니다. 대부분의 피싱 피해자가 남미 지역에 거주하고 있으며 피해자의 28%는 남아시아에 거주하고 있습니다. 이 데이터는 피해자에 대한 완전한 가시성을 제공하지는 않습니다. 하지만 사이버 범죄자들이 피싱 공격을 얼마나 효과적인 툴로 사용하고 있는지 수치를 통해 잘 보여줍니다.

특히 블랙 프라이데이와 사이버 먼데이 등의 휴가철에도 범죄는 줄어들지 않았고 피해자를 더 끌어들이기 위해 이러한 이벤트를 둘러싼 대중의 인식과 기대치를 이용했음을 확인할 수 있습니다. 

여전히 어딘가에 존재하는 피싱

공개된 위협 인텔리전스 자료에 따르면, 피싱 캠페인이 활성화되고 며칠이 지나도 URL의 20%가 악성으로 파악되지 않았습니다.

범죄자들에게 피싱은 진입 장벽이 낮고 턴키 방식의 비즈니스도 존재합니다. 많은 피싱 웹사이트가 탐지되지 않는 이유 중 하나입니다. 방어 체계는 도전을 받고 있고 새로운 피싱 캠페인의 규모에 무너지는 경우도 있습니다.

그림 4: 퍼블릭 소스에 기반한 피싱 웹사이트 탐지  

요약

여러 가지 이유로 본 연구에서 제시된 수치는 빙산의 일각에 불과합니다. 

  • 많은 피싱 웹사이트는 써드파티 리소스를 사용하지 않고 독점 콘텐츠를 사용하고 있기 때문에 Akamai 플랫폼에서 이를 확인할 수 없었습니다.
  • 이번 연구는 Akamai 플랫폼을 통해 리소스를 소비하거나 리디렉션하는 피싱 캠페인만 고려했습니다.
  • Akamai 데이터만 사용해 연구한 결과이기 때문에 가시성이 제한적입니다. 실제 수치는 훨씬 클 것으로 추정됩니다.
  • 레퍼링 웹사이트의 일부만 샘플링하고 검증했기 때문에 아직 발견되지 않은 부분이 있을 거라 추정됩니다.

피싱은 알려져 있고 자주 보고되는 위협이지만 잠재적인 피해자와 관련된 숫자가 항상 알려져 있지 않습니다. 이 연구에 제시된 데이터는 위험 징후로 사용되어야 하며, 이를 기반으로 조치를 취할 수 있습니다. 앞으로도 피싱은 사라지지 않을 것입니다. 가장 중요한 첫 단계는 친구와 동료와 가족이 민감한 정보를 넘겨주거나 알 수 없는 파일을 다운로드하기 전에 의심을 품고 두 번 생각하도록 교육하는 것입니다. 옛말을 인용하자면, 믿기 어려울 정도로 너무 좋은 것이라면 믿지 않는 것이 좋습니다.