2023년 5월 초, 구글이 신규 최상위 도메인(TLD) 8종을 배포했다. 모두 “.com”, “.uk” 등과 같이 URL 주소 가장 뒷부분에 붙는다. URL에 약간 추가되는 정보는 수십 년 전 URL 확장 및 형성을 위해 개발되었으며, 지난 몇 년간 비영리 단체인 국제 인터넷 주소 관리 기구(ICANN)는 최상위 도메인 제한을 완화하여 구글과 같은 기관이 더 많은 도메인 판매 입찰을 하도록 했다. 그러나 구글이 발표한 최상위 도메인에 “.dad”, “.nexus” 등 가볍게 사용할 수 있는 도메인이 포함된 가운데, “.zip”, “.mov” 등 피싱과 각종 온라인 스캠 피해를 제기할 수 있는 독특한 최상위 도메인도 포함된 것으로 드러났다.
“.zip”과 “.mov”는 공통 파일 확장명이기 때문에 쉽게 눈에 띈다. “.zip”은 데이터 압축 시 보편적으로 사용하며, “.mov”는 애플이 개발한 비디오 포맷이다. 이미 발생하기 시작한 우려 사항은 파일 이름처럼 보이는 URL이 웹 사용자를 속여 정상적인 것처럼 위장한 악성 링크를 클릭하도록 유도하는 디지털 스캠을 열 확률이 더 높다는 사실이다. 또, 두 가지 도메인은 실수로 파일 명칭을 URL로 인식하고는 자동으로 파일명의 링크를 추가하는 문제까지 확장할 수 있다.
사이버 보안 기업 콘페스(Cofense) 수석 위협 자문위원이자 오랫동안 피싱 연구원으로 근무한 로니 토카조위스키(Ronnie Tokazowski) 의원은 “공격자는 무엇이든 원하는 것을 이용하여 기관 내부에 침투할 수 있다. 모두 오랜 시간에 걸쳐 존재했다. 아무것도 달라진 점이 없다”라고 말했다.
연구팀은 이미 전략적으로 .zip URL을 구매해 피싱 작전 테스트를 시작한 악성 사이버 범죄 세력을 관찰하기 시작했다. 그러나 URL의 혼란을 일으키는 스캠이 이미 상습적인 위협을 가할 때 .zip과 .mov 도메인이 미치는 부정적 여파의 정도는 엇갈린 반응을 불러일으켰다. 게다가 프록시와 다른 트래픽 관리 툴이 이미 피싱 방지 보호 프로그램을 배포해 클릭 실수 위험성을 줄이기 시작했으며, .zip, .mov URL은 방어 프로그램에 통합되었다.
[사진=Unsplash]
구글은 와이어드에 보낸 공식 성명을 통해 “도메인 명칭과 파일 명칭 간의 혼란은 처음 있는 일이 아니다. 예를 들어, 3M의 커맨드 제품은 MS DOS와 윈도 초기 버전에도 중요한 프로그램과 같은 ‘command.com’이라는 도메인 명칭을 이용한다”라며, “애플리케이션에는 구글 세이프 브라우징(Google Safe Browsing)과 같이 파일명과 도메인 명칭 중복 위험성을 완화하는 요소가 포함됐다. 완화 요소는 .zip과 같은 최상위 도메인에도 적용된다”라고 설명했다. 구글은 자사의 모든 최상위 도메인에 걸쳐 악성 도메인을 중단하거나 제거할 요소가 구글 레지스트리(Google Registry)에 포함되었다고 설명했다. 구글은 “앞으로도 .zip을 비롯한 다른 최상위 도메인 사용 사례를 계속 관찰하여 새로운 위협이 등장하면, 사용자 보호를 위한 적절한 조처를 할 계획이다”라고 덧붙여 전했다.
최상위 도메인을 추가로 제공하면, 사용자가 접할 수 있는 URL 수는 더 광범위해진다. 사용자가 선택할 수 있는 최상위 도메인 수가 더 많으며, 기존 소유주나 과거 URL을 대거 구매하는 투기꾼에게서 사이트 명칭을 더 비싼 가격에 구매할 필요가 없다는 의미이다. 또한, 보안 연구 전문가 사이에서는 이미 피싱 공격 위험성이 커진 사실을 고려하여 .zip, .mov 등 도메인 명칭을 추가하는 행위는 보안 위험성을 무시한 행위라고 본다.
보안 침해 추적 서비스인 HaveIBeenPwned를 운영하는 보안 연구원 트로이 헌트(Troy Hunt)는 “새로운 최상위 도메인 때문에 모든 의미 있는 방향에서의 피싱 위험성 증가라는 결과로 이어질 것이라는 주장에 동의하지 않는다. 일반 웹 사용자와 보안 전문가 모두 수많은 모호한 특성 간 차이를 말할 수 없다. 또, 일반적으로 여러 서비스의 올바른 URL을 알지 못한다. 모든 우려가 눈 깜짝할 사이에 아무 문제 없이 지나갈 것이라고 확신한다”라고 주장했다.
그러나 스캠 방지 및 피싱 방지 작업을 이끄는 구글을 비롯한 테크 기업과 일부 보안 연구원은 단순히 특정 최상위 도메인을 제공하지 않는 방안을 채택할 수 있다. 이미 존재하는 다른 최상위 도메인이 파일 확장 프로그램 명칭과 동일하더라도 중복 도메인이 더 이상 필요하지 않다고 주장할 수 있다.
보안 연구원 마르쿠스 허친스(Marcus Hutchins)는 “그 누구도 도메인 명칭과 파일 명칭의 혼란이 새로운 문제라고 주장한 적이 없다. 사실, 지금까지 제기된 문제 절반은 새로운 문제가 아니다. 과거에도 비슷한 문제가 발생했으나 구글은 똑같은 문제를 일으켰다. 구글이 돈을 벌 목적 이외에는 아무 이유 없이 하위 제공업체가 해결해야 할 사용성 및 보안 문제를 일으킨 것으로 보인다”라고 말했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Unsplash]](/news/photo/202306/4781_6258_4320.jpg)
뉴스레터 신청