인터넷 주소가 .zip .review로 끝나는 사이트는 사이버 공격에 이용당할 가능성이 매우 높은 것으로 나타났다. 따라서 이러한 사이트에는 사용자가 방문하지 않도록 하는 것이 좋다.
블루코트(www.bluecoat.co.kr)는 불분명한 최상위도메인(TLD)의 상당수가 의심스러운 웹사이트와 연관되어 있음을 확인했다고 2일 밝혔다. 최상위도메인은 인터넷 주소상 .com, .net, .org 등 도메인이 나타내는 기관 분류 또는 국가, 그리고 등록처를 나타내는 표시를 말한다.
블루코트는 이날 1만5000여 기업과 7500만여명의 사용자들에게서 발생한 웹 요청을 분석해 ‘웹 환경의 수상한 이웃들’이라는 보고서를 통해 가장 의심스러운 10개의 최상위도메인을 선정했다. 이 중 95%이상이 유해한 사이트로 판명됐고, 1, 2위를 차지한 .zip, .review 도메인의 경우 100% 유해성이 있는 사이트인 것으로 나타났다.
유해 사이트 통해 스팸·피싱·드라이브 바이 다운로드 공격
블루코트는 이번 보고서를 통해 도메인 분석과 더불어 웹 사용자 및 기업 보안 담당자, IT 부서에서 바이러스 및 기타 악성 코드를 피할 수 있는 팁과 트릭에 대한 내용을 담았다. 블루코트는 조사 과정에서 다음과 같은 카테고리의 데이터베이스와 연관된 경우 ‘유해한(shady)’ 도메인으로 분류했다. 이 분류에 해당되지 않는 도메인은 ‘유해하지 않은(non-shady)’ 사이트로 집계됐다.
인터넷 사용 초창기에는 6개의 최상위 도메인만을 사용해 왔으나 다양한 기술의 변화를 겪으며 .com, .net, .edu 및 .gov와 같은 표준 TLD와 더불어 .KR, .JP, .FR 등 국가TLD 등이 사용되어 왔다.
2013년을 기점으로 웹사이트가 폭증하며 웹 보안은 물론 접근성 면에서도 적합하지 않은 최상위도메인이 다수 생성됐고, 2015년 6월을 기준으로 1000개 이상의 TLD가 발급돼 사용되고 있는 것으로 확인됐다.
TLD가 급증함에 따라 해커들의 공격 기회도 증가했다. ‘불분명한 TLD’가 붙은 사이트가 늘어남에 따라 스팸, 피싱, 잠재적 유해 소프트웨어 등 악성 공격 활동의 기반이 넓어지고 있기 때문이다.
본 결과는 2015년 8월 15일 집계 기록을 기준으로 작성됐으며, 유해 사이트 비율은 블루코트에서 분석한 조사 대상자 7500만 사용자가 실제로 방문한 웹사이트를 기준으로 산출됐다. 100% 비율로 의심스러운 사이트에 사용된 최상위 도메인은 블루코트가 설정한 유해 활동의 카테고리를 근거로 선정했다.
“위험성 높은 URL 차단해야”
리포트에는 .kim 사이트를 포함하여 유해성 비율 순위에서 상위에 랭크 된 TLD를 사용하는 웹사이트에서 실제로 범죄 행위가 이루어진 사례가 실려 있다. 블루코트 보안 연구소에서는 이와 같은 사이트들이 유행하는 영상 및 이미지를 제공하고 있으며, 사용자가 이 사이트를 방문하는 순간 멀웨어를 다운로드 받도록 하는 것을 확인했다.
휴 톰슨 블루코트 CTO는 “최근 몇 년간 TLD가 급증하며 이와 비례하여 안전성이 보장되지 않는 불분명한 웹사이트가 폭발적으로 늘어났다. 블루코트 분석 결과 이는 곧 사이버 위협의 가능성이 증가한 것으로 확인되었으며, 이러한 공격으로부터 기업 및 개인을 안전하게 보호하기 위해서는 의심스러운 최상위도메인이 붙은 사이트의 위험성을 인지하고, 피해를 예방할 수 있는 방안을 숙지해야 한다”고 말했다.
리포트는 불분명한 최상위 도메인으로부터 기업 및 개인이 안전성을 보장하기 위해 다음과 같은 내용을 권고한다.
기업에서는 위험하다고 판단되는 최상위 도메인의 트래픽을 차단해야 한다. 블루코트는 .work, .gq, .science, .kim .country로 끝나는 URL은 차단하는 것이 안전하다고 권고하고 있다.
사용자들은 웹 서핑 혹은 이메일 확인, SNS 등에서 보고서에 기술된 유해성 TLD가 포함된 링크는 클릭하지 않도록 한다.
소스가 불분명할 경우 링크를 클릭하기 전, 해당 내용에 마우스를 올려 최종 연결 주소를 확인 후 유해성이 있는 TLD가 포함되지 않았는지 확인한다.
모바일 기기에서 링크를 확인하는 경우 클릭하기 전 “누르기/홀드(press/hold)” 기능을 사용하여 도착 링크 정보를 확인한다.
