[홍석범 CISO 보안팁-4] 진화하는 피싱 플랫폼과 대응 전략

“피싱, 방심하는 순간 누구나 피해자가 될 수 있는 위협…지속적 경각심과 다층적인 방어 체계 필수”

지난 글(관련기사)에 이어 이번 글에서는 최근 자주 모니터링되는 피싱 동향을 구체적으로 살펴보고자 한다. 특히, 신뢰할 수 있는 도메인을 악용하는 URL 리디렉션 기법과 점점 정교해지고 있는 피싱 사이트의 진화 양상을 중심으로 상세한 사례와 함께 설명한다.

■신뢰할 수 있는 도메인을 활용한 URL 리디렉션 기법

피싱 공격자가 가장 많이 활용하는 방법 중 하나는 ’사전 차단 우회’다. 특히 검색엔진이나 보안 솔루션의 보호 도메인을 교묘히 악용하여, 사용자가 신뢰할 수 있다고 믿는 링크로 위장하는 방식이다.

아래 예시를 보자.

hxxps://www.google.com/url?q=https%3A%2F%2Fgosf.co.il%2Fsemrush%2F&sa=D&sntz=1&usg=AOvVaw2Kc5TVzL2tcloZzPy1U-Y7#?codeug766043121r=YW5Aa3JhZnRvbi5jb20=

겉으로 보기에는 구글의 공식 도메인(www.google.com)으로 시작하기 때문에 대부분의 사용자가 별다른 의심 없이 클릭할 수 있다. 하지만 실제 목적지는 q= 파라미터에 인코딩되어 있으며, 사용자가 링크를 클릭하는 순간 구글을 거쳐 https://gosf.co.il/semrush/라는 피싱 사이트로 리디렉션된다. 이 기법은 사용자가 ’마우스 오버’로 확인 가능한 주소만을 보고 판단하는 습관을 교묘히 악용하는 것이다.

비슷한 방식으로, 다음의 예를 살펴보자.

hxxps://secure-web.cisco.com/.../https%3A%2F%2Fconfidentialdocufile.baldoinoadvogados.com.br%2F

시스코(Cisco)의 보안 웹 리디렉션 주소처럼 보이지만 실제로는 브라질의 피싱 도메인(https://confidentialdocufile.baldoinoadvogados.com.br/)으로 연결된다. 사용자는 전체 URL을 꼼꼼히 확인하지 않기 때문에, 처음 부분만 보고 ’Cisco에서 제공하는 보안 링크’라고 착각하기 쉽다. 또 다른 사례로는 DocuSign 링크를 위장했지만

실제로는 트랜드마이크로의 URL 보호 서비스 주소(https://cas5-0-urlprotect.trendmicro.com/)로 시작해 최종적으로는 hxxps://webex-edocunmentportlsigning.tuscantech.it.com/...과 같은 피싱 사이트로 유도되는 경우도 있었다.

이처럼 Outlook의 Safelinks(https://apc01.safelinks.protection.outlook.com/), Trustwave(https://scanmail.trustwave.com/), Sophos(https://us-west-2.protection.sophos.com/) 등 보안 서비스 링크가 악용되는 사례는 매우 빈번하다. 따라서 조직 내에서 실제로 사용하지 않는 보안 서비스의 보호 도메인이 발견되면 반드시 의심해야 하며, 의심스러운 링크는 클릭 전 반드시 전체 URL을 확인하는 습관이 필요하다.

■점점 진화하는 피싱 사이트들

피싱 공격은 점점 더 정교해지고 있다. 단순히 특정 도메인만을 속이는 수준을 넘어, 다수의 도메인과 조직을 동시에 속일 수 있는 ’범용 피싱 플랫폼’이 등장하고 있다. 대표적인 방식은 특정 이메일 주소를 입력하면 해당 도메인에 맞는 로고와 UI를 자동으로 생성해 보여주는 것이다.

예를 들어, 다음과 같은 URL을 입력한다고 해보자.

hxxps://authentication.prototypes.life/connections.aspx?allows=akunitski@dailysecu.com

이 경우 화면에는 ’데일리시큐’의 로고가 자연스럽게 나타난다.

만약 allows 값을 akunitski@naver.com이나 akunitski@daum.net으로 바꾸면 네이버, 다음 UI로 자동 변환되며,

akunitski@nexon.com으로 입력하면 넥슨 화면으로 위장된다.

공격자는 이 방식을 통해 불특정 다수를 대상으로 하면서도, 사용자가 속을 수밖에 없는 정교한 피싱 환경을 조성할 수 있다.

또한, 이러한 사이트들은 보안 분석을 회피하기 위해 여러 번 접속 시 자동으로 404 오류를 띄우는 기법까지 도입하고 있다. 즉, 일반 사용자는 처음 접속 시 정상적인 피싱 페이지를 보지만, 보안 분석가가 반복적으로 접속을 시도하면 더 이상 페이지가 열리지 않는다. 이는 분석 및 차단을 지연시키고, 피싱 캠페인의 수명을 늘리려는 전략이라고 할 수 있다.

■대응 방안: 브라우저 확장 프로그램 활용

피싱의 위협을 막기 위해서는 무엇보다 사용자의 주의가 중요하다. 그러나 개인의 주의만으로는 한계가 있기 때문에, 기술적인 보완책도 반드시 병행되어야 한다. 전통적으로 많은 기업은 SWG(Secure Web Gateway)나 NGFW와 같은 보안 장비를 도입해 URL 필터링을 통해 피싱 사이트 접속을 차단해 왔다. 그러나 이러한 장비는 비용이 매우 높고, SSL Pinning으로 인한 예외 처리 문제, 오탐 발생으로 인한 업무 차질 등 여러 불편함이 따른다.

반대로 브라우저 확장 프로그램은 설치와 사용이 간편하고, 사용자의 위치나 네트워크 환경에 상관없이 항상 작동하며, 속도 저하도 거의 없다. 대표적인 예로는 Microsoft Defender Browser Protection, Symantec Browser Protection, MalwareBytes BrowserGuard가 있다. 이들 확장 프로그램은 사용자가 피싱 사이트에 접속하기 전에 경고창을 띄워 접속을 차단하는 기능을 제공한다.

Microsoft Defender Browser Protection

Symantec Browser Protection

MalwareBytes BrowserGuard

이외 국내의 크리미널 IP(Criminal IP)나 평판기반의 WOT등도 있다.

물론 크롬 브라우저의 기본 기능인 세이프브라우징도 존재하지만, 경험적으로 매우 보수적으로 차단하기 때문에 단기간에 운영되었다가 사라지는 피싱 사이트에 대해서는 대응 속도가 떨어진다. 따라서 브라우저 확장 프로그램을 병행하는 것이 현실적이고 효과적인 방어책이라 할 수 있다.

■맺음말

피싱 공격은 단순한 이메일 속임수에서 출발했지만, 이제는 신뢰할 수 있는 도메인 리디렉션 기법과 정교한 UI 변조 기술을 통해 점점 더 고도화되고 있다. 공격자는 언제나 새로운 방식으로 사용자를 속이기 위해 진화하기 때문에, 개인 차원에서는 의심스러운 링크를 클릭하지 않는 기본적인 보안 습관을 유지해야 하고, 조직 차원에서는 최신 피싱 동향을 꾸준히 모니터링하며 조직의 상황에 맞는 보안 솔루션을 적극 도입해야 한다.

특히, 공격자가 단기간 운영하고 빠르게 폐쇄하는 피싱 사이트 특성상, 빠른 차단 속도를 제공하는 보안 수단을 병행하는 것이 중요하다. 피싱은 방심하는 순간 누구나 피해자가 될 수 있는 위협이므로, 지속적인 경각심과 다층적인 방어 체계가 필수적이다.

[글. 홍석범 크래프톤 CISO / antihong@gmail.com]

[2025 대한민국 사이버 보안 컨퍼런스: 보안담당자 초대-7시간 보안교육이수!]

(제13회 KCSCON 2025 / 구 PASCON)

※ Korea Cyber Security Conference 2025

-2025년 9월 16일(화) / 세종대 컨벤션센터 전관-

공공∙기업 정보보안 책임자/실무자 1,200여명 참석!

-2025년 하반기 최대 정보보호 컨퍼런스&전시회-

△주최: 데일리시큐

△일시: 2025년 9월 16일 화요일(오전9시~오후5시)

△장소: 세종대 컨벤션센터 전관

△참석대상: 공공기관·공기업·정부산하기관·금융기관·의료·교육·일반기업