Download - blucoat.jpg (84KB)
- 불분명한 최상위도메인 10가지가 포함된 사이트의 95% 이상이 유해한 활동에 연관된 것으로 파악
▲ 블루코트 위험 도메인
블루코트코리아(대표 김기태, www.bluecoat.co.kr)는 2일 불분명한 최상위도메인(TLD; Top Level Domain)의 상당수가 의심스러운 웹사이트와 연관되어 있음을 확인했다고 밝혔다.
블루코트는 1만5,000여 기업과 7,500만여명의 사용자들에게서 발생한 웹 요청을 분석하여 “웹 환경의 수상한 이웃들(The Web’s Shadiest Neighborhoods)”이라는 보고서를 발표했다. 블루코트는 분석 결과를 토대로 가장 의심스러운 10개의 최상위 도메인을 선정했으며, 이 중 95% 이상이 유해한 사이트로 판명되었고, 특히 1, 2위를 차지한 .zip, .review 도메인의 경우 100% 유해성이 있는 사이트인 것으로 나타났다.
블루코트는 이번 보고서를 통해 도메인 분석과 더불어 웹 사용자 및 기업 보안 담당자, IT 부서에서 바이러스 및 기타 악성 코드를 피할 수 있는 팁&트릭에 대한 내용을 담았다. 블루코트는 조사 과정에서 다음과 같은 카테고리의 데이터베이스와 연관된 경우 “유해한(shady)” 도메인으로 분류했다.
[보편적인 악성 활동] [상대적으로 보편적이지 않은 악성 활동]
스팸 (Spam) 멀웨어 (Malware)
스캠 (Scam) 봇넷 (Botnet)
의심스러운 접근 (Suspicious) 피싱 (Phishing)
잠재적 유해 소프트웨어(PUS: Potentially Unwanted Software)
위 분류에 해당되지 않는 도메인은 “유해하지 않은(non-shady)” 사이트로 집계되었다.
인터넷 사용 초창기에는 6개의 최상위 도메인만을 사용해 왔으나 다양한 기술의 변화를 겪으며 .com, .net, .edu 및 .gov와 같은 표준 TLD와 더불어 .KR, .JP, .FR 등 국가TLD 등이 사용되어 왔다. 그리고 2013년을 기점으로 웹사이트가 폭증하며 웹 보안은 물론 접근성 면에서도 적합하지 않은 최상위도메인이 다수 생성되었고, 2015년 6월을 기준으로 1,000여개 이상의 TLD가 발급되어 사용되고 있는 것으로 확인됐다.
TLD가 급증함에 따라 해커들의 공격 기회도 증가했다. “불분명한 TLD”가 붙은 사이트가 늘어남에 따라 스팸, 피싱, 잠재적 유해 소프트웨어 등 악성 공격 활동의 기반이 넓어지고 있기 때문이다.
[유해성이 높은 최상위 도메인 1위~10위]
순위 최상위 도메인명 유해사이트 비율
#1 .zip 100.00%
#2 .review 100.00%
#3 .country 99.97%
#4 .kim 99.74%
#5 .cricket 99.57%
#6 .science 99.35%
#7 .work 98.20%
#8 .party 98.07%
#9 .gq(Equatorial Guinea) 97.68%
#10 .link 96.98%
이 결과는 2015년 8월 15일 집계 기록을 기준으로 작성되었으며, 유해 사이트 비율은 블루코트에서 분석한 조사 대상자 7,500만 사용자가 실제로 방문한 웹사이트를 기준으로 산출됐다. 100% 비율로 의심스러운 사이트에 사용된 최상위 도메인은 블루코트가 설정한 유해 활동의 카테고리를 근거로 선정했다.
리포트에는 .kim 사이트를 포함하여 유해성 비율 순위에서 상위에 랭크 된 TLD를 사용하는 웹사이트에서 실제로 범죄 행위가 이루어진 사례가 실려 있다. 블루코트 보안 연구소에서는 이와 같은 사이트들이 유행하는 영상 및 이미지를 제공하고 있으며, 사용자가 이 사이트를 방문하는 순간 멀웨어를 다운로드 받도록 하는 것을 확인했다.
블루코트의 휴 톰슨(Hugh Thompson) CTO는 “최근 몇 년간 TLD가 급증하며 이와 비례하여 안전성이 보장되지 않는 불분명한 웹사이트가 폭발적으로 늘어났다. 블루코트 분석 결과 이는 곧 사이버 위협의 가능성이 증가한 것으로 확인되었으며, 이러한 공격으로부터 기업 및 개인을 안전하게 보호하기 위해서는 의심스러운 최상위도메인이 붙은 사이트의 위험성을 인지하고, 피해를 예방할 수 있는 방안을 숙지해야 한다”고 말했다.
