온라인 범죄자들, 한 번에 수천 개 가짜 사이트 만들어
범죄 사이트 하나하나 삭제하는 건 거의 ‘아무런 소용없어’
.jpg)
[보안뉴스 문가용 기자] 악성 웹 사이트를 폐쇄하는 건 임시방편일 뿐이다. 범죄자들 입장에서는 그저 다른 주소를 하나 파서 새로운 사이트를 만들면 그만이기 때문이다. 이에 몇몇 전문가들이 DNS 분석을 통해 좀 더 ‘근본적인’ 소탕을 할 수 있도록 하는 방법을 연구했다. 이 전문가들은 파사이트 시큐리티(Farsight Security)의 CRO인 앤드류 류만(Andrew Lewman), 사이벨엔젤(CybelAngel)의 CTO인 스티븐 케로디(Stevan Keraudy)다.
이 연구에 대해 류만은 “온라인 범죄 네트워크를 적발하기 위해 네트워크 과학이라는 접근법을 활용해 본 시도”라고 설명한다. DNS 요청을 시각화하고 분석해 수상한 웹 사이트들의 공통 쓰레드를 발견해내고자 한 것으로, 두 사람은 수천 개의 가짜 웹 사이트를 DNS 캐시 미스 요청을 통해 걸러내고, 수백 개의 도메인 이름을 추려내 한 개의 범죄 조직을 발견하는 데에 성공했다고 한다.
“온라인 범죄 소탕의 가장 큰 문제점은, 범죄자들의 자원이 풍부하다는 겁니다. 그냥 웹 사이트 하나 둘 없어지는 건 그들에게 전혀 걸림돌이 되지 않습니다. 폐쇄를 예상하고 한 번에 몇 천 개씩 만들어냈다가 타이밍 맞춰 하나씩 온라인에 공개하는 게 그들의 공격 패턴입니다. 우리가 하나 찾아내서 닫았다고 축배를 들 때 그들은 미리 예비해둔 수천 개 웹 사이트 중 하나를 온라인으로 전환하면 끝입니다.” 케로디의 설명이다.
이 시스템이 사실이라면 웹 사이트를 하나하나 거둬내는 건 전혀 쓸모가 없는 방법이라고 볼 수 있다. 인터넷의 창시자이자 DNS 전문가인 폴 빅시(Paul Vixie)도 얼마 전 이 점을 깨닫고 ‘웹 사이트를 온라인화 시킬 때 유예 기간이 필요하다’고 주장한 바 있다. 웹 사이트를 온라인화 시키는 걸 누구나 할 수 있으니 범죄자들의 행위를 잡아낼 수가 없다는 것이 그 이유였다.
류만과 케로디는 파사이트에서 제공하는 패시브 DNS(Passive DNS) 서비스를 사용해 이 연구를 진행했다. 패시브 DNS 서비스를 가지고 실시간으로 응답 데이터를 수집했다고 한다. 또 사이벨앤젤의 웹 크롤링 기술과 데이터 분석 알고리즘을 활용해 가짜 도메인 이름들이 온라인화 될 때마다 잡아냈다. “패시브 DNS를 전환시켜 흔히 가짜 이름 생성에 활용되는 브랜드와 같은 것들을 시각화했습니다. 시각화란 한 마디로 말해 저희가 설정한 정보 검색 및 자료 수집을 한 기계가, 인간이 알아들을 수 있는 언어로 전환하는 것을 말합니다.”
이렇게 하니 악성 및 범죄에 활용되는 웹 사이트들이 뭉텅이로 ‘시각화’되었다. 그리고 이 뭉텅이 뭉텅이들을 추적해 그 뿌리가 되는 조직 자체에 다다를 수 있었다. “이 시점에서는 법적인 조치를 취할 수 있게 됩니다. 예를 들어 유명 브랜드의 웹 사이트인 것처럼 꾸며놓은 범죄 사이트를 오리지널 브랜드 보유 회사에서 고소할 수 있게 되죠. 범죄 조직을 정확히 겨냥해서요.”
수상한 웹 사이트들에는 크롤러를 작동시킨다. 적발보다는 가시화 작업 혹은 뿌리 추적을 위한 최대한의 정보를 수집하는 역할을 수행한다. “전화번호, 이메일, 후이즈 관련 정보들을 최대한 수집하는 것이죠.” 그렇지만 이 방법을 활성화시킨다고 해도 범죄 척결이 금방 이루어질 것이라고 보이지는 않는다고 두 전문가는 입을 모은다. “범죄와의 싸움은 오프라인이든 온라인이든 영원한 술래잡기거든요. DNS 분석을 통해 뿌리에 있는 범죄 조직을 밝혀내고 법적인 조치를 취해서 그들을 가둔다고 해도, 다음 범죄 집단이 나타나 이 방법을 무용지물로 만들 겁니다.”
두 전문가는 자신들이 직접 실험해본 이 ‘DNS 분석으로 범죄 집단 추적하기’를 블랙햇 유럽 행사에서 자세하게 공개할 예정이다. 본지도 후속기사가 공개되는 대로 전달할 예정이다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
====================================================================================================
본 기사를 접하고 나서 굉장한 공감을 하였다.
범죄자들이 웹사이트를 이용하여 어떠한 범죄를 저지르고 있을때, 경찰측에서는 대부분 웹사이트를 막아버리겠다. 라고만 말한다.
사실 웹사이트를 막고 서버를 막는다고 하는게 무슨 소용이 있을까..
일반일들도 쉽게 서버를 운영하고 웹사이트를 운영할 수 있는데...
DNS와 웹 크롤링등을 이용해 범죄집단의 데이터를 긁어모아 그들의 웹사이트가 아니라 그들에게 접근한다면 얘기는 달라질 수 있을 것이다.
물론, 전문가들의 말처럼 범죄 집단들은 자신의 목적을 위해 얼마든지 발전할테니까 이 방법이 금방 막혀 버릴 수도 있다.
하지만 그렇다고 하더라도, 굉장히 흥미로운 접근 방법이라고 생각한다.
===================================================================================================
본 카테고리의 게시물은 보안과 관련된 인터넷 뉴스사이트에서 발췌한 글과 함께 저의 의견을 작성한 내용입니다.
무단으로 배포할 경우 저작권 법에 의해 처벌받을 수 있으니 조심하시기 바랍니다.
기사 출처 : 보안뉴스(www.baoannews.com)
기사 원본 주소 : http://www.boannews.com/media/view.asp?idx=52231&page=1&kind=4
기사 저작권자 : 보안뉴스
'Today's Security Issue.' 카테고리의 다른 글
| [보안뉴스 스크랩] 보안인력 양성에 큰 힘...제1회 정보보안관제사 시험 시행 (0) | 2016.11.16 |
|---|---|
| [보안뉴스 스크랩] 랜섬웨어 여전히 기승! 해결방법 문의 글로 도배된 네이버 지식인 (0) | 2016.11.03 |