최근 구글이 8개의 새로운 최상위 도메인을 추가해서 인터넷에 적용하려는 움직임으로 인해 우려가 제기되고 있습니다
왜냐하면 추가 도메인 중 두 개가 사람들을 속여 악성 링크를 클릭하도록 유도하는 온라인 사기꾼에게 도움이 될 수 있기 때문이죠
흔히 TLD(Top-Level Domain)로 약칭되는 최상위 도메인은 도메인 이름의 가장 오른쪽 세그먼트입니다. 인터넷 초창기에는 특정 도메인의 목적, 지역 또는 운영자를 분류하는 데 도움이 되었습니다. 예를 들어 .com TLD는 영리 단체가 운영하는 사이트에, .org는 비영리 단체에, .net은 인터넷 또는 네트워크 단체에, .edu는 학교 및 대학교 등에 사용되었습니다. 또한 영국은 .uk, 나이지리아는 .ng, 피지는 .fj와 같은 국가 코드도 있습니다. 초기 인터넷 커뮤니티 중 하나인 The WELL은 www.well.sf.ca.us 에서 접속할 수 있었습니다.
그 이후로 인터넷 도메인을 관리하는 기관들은 수천 개의 새로운 TLD를 출시했습니다. DNS 루트, IP 주소 및 기타 인터넷 프로토콜 리소스를 감독하는 관리 기관인 인터넷주소자원관리기구에 따르면 2주 전 Google은 인터넷에 8개의 새로운 TLD를 추가하여 총 TLD 수가 1,480개로 늘어났습니다.
Google의 새로운 TLD 중 두 가지인 .zip과 .mov는 일부 보안 업계에서 조롱을 불러일으키고 있습니다. Google 마케팅 담당자는 각각 "물건을 묶거나 정말 빠르게 움직이는 것", "움직이는 사진 및 움직이는 모든 것"을 지정하는 것이 목적이라고 말하지만, 이 접미사들은 이미 완전히 다른 것을 지정하는 데 널리 사용되고 있습니다. 특히 .zip은 zip이라는 압축 형식을 사용하는 아카이브 파일에 사용되는 확장자입니다. 반면 .mov 형식은 동영상 파일의 마지막에 표시되며, 일반적으로 Apple의 QuickTime 형식으로 만든 동영상 파일에 표시됩니다.
많은 보안 전문가들은 이 두 가지 TLD가 이메일, 소셜 미디어 등에 표시될 때 혼란을 야기할 수 있다고 경고하고 있습니다. 그 이유는 많은 사이트와 소프트웨어가 "arstechnica.com" 또는 "mastodon.social"과 같은 문자열을 클릭 시 해당 도메인으로 연결되는 URL로 자동 변환하기 때문입니다. 문제는 setup.zip 또는 vacation.mov와 같은 파일을 참조하는 이메일과 소셜 미디어 게시물이 자동으로 클릭 가능한 링크로 변환되어 사기꾼들이 이 모호함을 악용할 수 있다는 점입니다.
"온라인 사기꾼들 다른 사람들이 파일 이름을 자연스럽게 지칭하는 데 사용할 가능성이 높은 도메인 이름을 쉽게 등록할 수 있습니다."라고 보안 회사 Proofpoint의 위협 탐지 담당 이사인 Randy Pargman은 이메일에 썼습니다. "그런 다음 위협 행위자가 시작하거나 참여하지 않아도 되는 이러한 대화를 사용하여 사람들이 악성 콘텐츠를 클릭하고 다운로드하도록 유인할 수 있습니다."
수년에 걸친 피싱 방지 및 사기 방지 인식의 퇴보
예를 들어, photos.zip 도메인을 장악한 사기꾼은 사람들이 수십 년 동안 이미지 세트를 zip 파일에 보관한 다음 이메일이나 소셜 미디어에 공유하는 습관을 악용할 수 있습니다. Google의 조치 이전에는 사진을 일반 텍스트로 렌더링 하는 대신 많은 사이트와 앱에서 사진을 클릭 가능한 도메인으로 변환하고 있습니다. 지인이 보낸 사진 아카이브에 액세스 한다고 생각한 사용자는 사기꾼이 만든 웹사이트로 이동할 수 있습니다.
파그먼은 "사기꾼들은 누구나 페이지를 방문할 때마다 zip 파일을 다운로드하도록 쉽게 설정할 수 있으며, 멀웨어와 같은 원하는 콘텐츠를 zip 파일에 포함시킬 수 있습니다."라고 말합니다.
새로 생성된 몇 개의 사이트는 이러한 수법이 어떤 것인지 보여줍니다. 그중에는 설치 파일에 대한 명명 규칙을 일반적으로 참조하는 도메인 이름을 사용하는 setup.zip과 steaminstaller.zip이 있습니다. 특히 신랄한 것은 클라이언트독스.zip으로, 이 사이트는 다음과 같은 내용의 배시 스크립트를 자동으로 다운로드합니다:
위협 행위자가 이 기법을 코믹하지 않은 방식으로 사용하는 것을 상상하는 것은 어렵지 않습니다.
"잠재적 피해자가 링크를 클릭하도록 유도하기 위해 메시지를 보낼 필요도 없이 도메인을 등록하고 악성 콘텐츠를 제공하도록 웹사이트를 설정한 다음 사람들이 실수로 콘텐츠 링크를 생성할 때까지 수동적으로 기다리기만 하면 된다는 이점이 있습니다."라고 파그먼은 설명합니다. "링크는 신뢰할 수 있는 발신자가 보낸 메시지나 게시물의 컨텍스트에 포함되어 있기 때문에 훨씬 더 신뢰할 수 있는 것처럼 보입니다."
Google 담당자는 새로운 TLD가 초래할 수 있는 새로운 위협이 있는지 모니터링할 것이라는 성명서를 통해 회사의 .zip 및 .mov TLD 사용을 옹호했습니다. 트위터는 새 TLD가 안전한 이유를 몇 가지 제시했습니다. 하나는 사용자가 악성 웹사이트로 이동하거나 악성 파일을 다운로드하려고 시도할 때 경고하는 Google 세이프 브라우징과 같은 브라우저 완화 기능을 통해 악용을 억제할 수 있다는 것입니다.
또한 성명서에서는 미국 대기업 3M이 MS-DOS 및 초기 버전의 Windows에서 중요한 프로그램의 이름인 command.com이라는 도메인 이름을 인수했을 때 잠재적인 혼란이 발생했음을 언급했습니다. 그러나 Google 성명서는 command.com은 단일 도메인 이름인 반면 .zip 및 .mov TLD는 수십만 또는 수백만 개의 도메인 이름에 부착될 가능성이 있다는 사실을 간과했습니다.
TLD에 대한 유사한 우려는 새로운 것이 아니라는 점에서 구글의 주장은 기술적으로 맞습니다. 10여 년 전, 도메인 이름을 감독하는 기관인 인터넷주소관리기구는 누구나 거의 모든 TLD에 대한 신청서를 제출할 수 있도록 허용하는 조치를 승인했습니다. 이러한 조치는 위협 행위자들이 로컬 네트워크 내에서 널리 사용되는 서버 이름과 충돌하는 “.domain,” “.mailserver,” “.lan,” and “.local,” 등의 TLD를 획득하여 인터넷의 안전과 안정성을 심각하게 저해할 수 있다는 우려를 불러일으켰습니다.
이러한 우려는 현실화되지 않았는데, 이는 이러한 이름이 유효하지 않아서가 아니라 이러한 이름이 사용 가능한 TLD에 사용된 적이 없었기 때문입니다. 2016년에 ICANN은 .corp, .home, .mail에 대한 TLD 신청을 단호하게 거부했습니다. 또한 인터넷주소관리기관은 .example, .invalid, .local, .localhost, .onion, .test TLD도 금지했습니다.
구글의 성명은 혼란스러운 TLD에 대한 우려가 새로운 것이 아니라는 점을 보여주기 위한 것이었지만, 그러한 이유로 TLD를 제한하는 것이 .zip 및 .mov의 사용에 위배되는 것으로 보이는 기존 선례라는 점을 인정하지는 않았습니다.
[업데이트, 5월 19일: 한편 ICANN의 한 기술자는 .zip 및 .mov가 .corp, .localhost 및 기타 유보된 TLD의 사용을 제한할 때 사용된 기준과 동일한 기준을 충족하지 못한다고 말했습니다. 그는 이 모든 것을 "충돌"이라고 불렀습니다.
"충돌은 도메인 이름의 계층적 데이터베이스인 도메인 이름 시스템을 언급하며, 자신의 컴퓨터에 로컬에 있는 TLD가 글로벌 DNS에도 있는 도메인 이름을 입력하는 경우입니다."라고 ICANN의 저명한 기술자인 폴 호프만(Paul Hoffman)은 인터뷰에서 말했습니다. 그는 Microsoft가 네트워크 관리자에게 Active Directory를 설정할 때 이 도메인을 사용하도록 권장하기 때문에 .corp가 "표준적인 예"라고 말했습니다. 그는 .zip과 .mov TLD는 완전히 다르다고 말했습니다.
"파일 확장자에 대해 이야기하고 있습니다. 아무도 위치 표시줄에 파일 이름을 입력하지 않습니다. 따라서 충돌이 아닙니다. 혼란스럽죠. 일어날 수 있는 일이 몇 가지 있습니다."라고 호프만은 말합니다. "문제가 없다는 말은 아니지만, 이것이 도메인 이름이라고 생각하는 것과 파일 이름이라고 생각하는 것 사이의 경계를 뛰어넘는다는 사실은 상당히 큽니다."]
현재 .zip으로 끝나는 도메인은 2,753개에 달한다고 SANS 연구소의 연구 책임자인 요하네스 울리히(Johannes Ullrich)는 말합니다. 이 중 울리히가 악성 도메인으로 의심되는 도메인은 단 두 개뿐이었습니다. 한 도메인인 fermwartung[.]zip("Fernwartung"은 원격 유지보수를 뜻하는 독일어)은 합법적인 회사 웹사이트로 연결되었지만 VirusTotal에 따르면 보안 회사 Dr.Web에서 멀웨어로 분류된 파일을 다운로드했습니다.
나머지는 파킹된 상태(예약되었지만 아직 사이트가 설정되지 않은 상태)이거나 오류가 발생하거나 알 수 없는 동작이 있었습니다. 48개의 도메인은 릭 애스틀리의 노래 "Never Gonna Give Up"으로 연결되는데, 이는 연구원들이 최종 사용자를 감염시킬 수 있는 능력을 보여주기 위해 종종 사용하는 '릭롤링'이라는 장난입니다.
이제 Google의 새 TLD를 사용할 수 있게 되면서 도메인 이름 규칙을 감독하는 엔지니어들은 다음에 무엇을 해야 할지에 대해 논의하고 있습니다. 이러한 엔지니어 중 한 명은 최근 커뮤니티에서 관리하는 모든 알려진 DNS 공개 접미사 및 관련 규칙의 기계 판독 가능 목록인 공개 접미사 목록(PSL)에서 .zip과 .mov를 삭제할 것을 요청했습니다. PSL의 목적은 브라우저 및 기타 애플리케이션이 인터넷의 보안과 안정성을 증진하는 방식으로 도메인 이름을 처리하도록 지원하는 것입니다.
이 엔지니어는 "이러한 TLD는 기만적인 특성으로 인해 PSL에 등록하기에는 안전하지 않습니다."라고 썼습니다. "PoC [개념 증명]가 등장하고 있으며 조직들은 이러한 TLD를 차단하고 있습니다."
이에 응답한 몇몇 엔지니어는 ICANN이 승인한 TLD를 제거하면 불안정성을 야기하고 PSL의 목적에 어긋난다는 이유로 이 제안에 반대했습니다. 결국 원래 포스터 작성자는 이를 철회했습니다.
이 엔지니어는 "새로운 TLD의 실질적인 기술적 이점을 제공하지 않았기 때문에 인센티브는 돈이라는 결론을 내릴 수밖에 없으며, 커뮤니티는 이제 우리가 처리해야 할 몇 가지 새로운 PoC 위험과 위협을 입증했습니다."라고 덧붙이며 "수년간의 피싱 방지 및 사기 방지 작업을 하루아침에 되돌리고 컴퓨터를 사용하기 더 혼란스럽고 위험하게 만든 Google에 대해 명예로운 언급을 드립니다."라고 썼습니다.
향후 구글이 쏘아 올린 도메인 적용은 앞으로 우리 생활에 어떻게 바뀔지 계속 지켜봐야 할 것 같습니다
'최신IT 정보' 카테고리의 다른 글
| 2023년 12월 부터 지메일 계정 삭제 예정? (0) | 2023.05.21 |
|---|---|
| 트위터의 CEO는 머스크에서 야리카노로 진행중? (1) | 2023.05.20 |
| 챗GPT가 선거에도 쓰인다고? (1) | 2023.05.20 |
