이 웹사이트는, 도메인을 이용한 피싱 및 공급망 공격을 예방/대비하기 위하여 운영되고 있는,
SafetyNET 프로젝트 소개 웹페이지입니다.
도메인이란, 인터넷에 연결된 컴퓨터를 사람이 쉽게 기억하고 입력할 수 있도록 문자(영문, 한글 등)로 만든 인터넷 주소입니다.
(출처)
이해하기 어렵다면, 웹 사이트에 접속하기 위한 전화번호와 같은 것이라고 생각하셔도 좋습니다.
휴대폰에 전화번호를 입력하고 전화를 걸면 전화번호 주인에게 연결되는 것과 같이,
웹 브라우저에 도메인을 입력하고 접속을 하면 도메인 주인이 지정한 홈페이지로 연결됩니다.
공급망 공격이란, 제3자 도구 또는 서비스('공급망'으로 통칭)를 사용하여 표적의 시스템 또는 네트워크에 침투하는 것을 말합니다.
자세한 내용은, 클라우드플레어의 자료를 참조해주세요.
앞서 말했던 도메인과 전화번호의 공통점 중 하나는, 등록 비용을 내지 않으면 말소(삭제)가 진행되며 말소된 전화번호/도메인은 누구나 사용할 수 있게 된다는 점입니다.
즉, 도메인이 방치되어 등록 비용이 미납되면 누구나 그 도메인을 확보할 수 있게 됩니다.
만약 여러분이 신용 카드를 분실했다고 가정해 봅시다.
카드를 분실 신고하기 위해 카드를 발급받을 당시 영업사원이 준 카드 홍보자료에 적혀있는 A카드사 홈페이지에 접속했습니다.
접속한 홈페이지에서 분실 신고 절차를 진행하기 위해 홈페이지에 이름, 주소, 전화번호, 카드번호, 주민등록번호와 카드 비밀번호를 입력했고,
분실신고가 정상적으로 처리되었으며 새로운 카드가 곧 도착할 것이라는 메시지를 확인했습니다.
하지만, 문제가 생겼습니다. 그날 새벽, 분실신고된 카드에서 갑자기 수백만원의 부정결제가 발생하였기 때문입니다.
왜 이런 일이 일어났을까요?
알고 보니 A카드사는 2년 전 홈페이지 주소를 변경했고, 여러분은 카드사 홈페이지가 아닌 피싱 사이트에 접속했기 때문입니다.
지금까지 알려진 멀쩡한 회사의 웹사이트가, 회사의 도산 또는 도메인에 대한 관리 부실등으로 인해 관리가 이루어지지 않는다면, 종국에는 피싱 사이트로 연결될 수 있으며,
이 사실을 모르는 사용자는 피싱 사이트를 신뢰할 수 있는 공식 사이트라고 생각할 수밖에 없습니다.
종종 개별 회사 뿐만 아니라 국가기관의 도메인이 유실되기도 합니다.
국가기관이 소유하던 도메인의 악용 사례는, 다음 링크를 참조해주세요.
[단독]불법리딩방 신고하려 눌렀더니…'도박 사이트'가 떡하니 - BizWatch
13년째 사주풀이하고 있는 옛 '도로교통공단' 사이트 - BizWatch
'도박사이트' 인터넷주소 방치해온 금융위, 뒤늦게 수정했지만 - BizWatch
인터넷이 대중화된 이후, 많은 소프트웨어와 기기들이 독립적으로 작동하기 보다는 서버로부터 일정한 값을 받아오고
그 값을 이용하여 프로그램이 구동되도록 설계되어 있습니다. 이는 스마트폰과 같은 모바일/임베디드 기기에도 해당합니다.
국가공인인증인 KC를 취득한 삼성사의 갤럭시노트7이 전국에서 폭발을 일으킬 당시, 삼성사에서는 (자사의)피해를 최소화하기 위해
기기의 펌웨어를 강제로 업데이트했고, 종국에는 새로운 펌웨어에 설치된 "킬스위치"를 작동시켜 노트7의 작동을 강제로 정지시켰습니다.
이는 일종의 백도어로써 작동하며, 이러한 백도어로 동작하는 도메인의 소유 권한이 자칫 타인에게 넘어간다면 불가역적인 침해사고가 일어날 수 있습니다.
실제로 저는 수 년 전, 국내 3대 통신회사의 장비에 사용되는 이러한 취약점을 발견하여 리포트 한 적이 있으나 저는 어떠한 답장도 받지 못했으며,
이러한 공격 방식은 사람들의 관심 밖인지 제대로 된 연구 및 현황 파악조차도 진행된 적이 없습니다.
저, 그리고 신원이 알려지지 않은, 개인으로 이루어진 저희 팀이 이 일을 함께 하고있습니다.
KISA는 국가도메인 관리권한이 있기에 도용사고가 이미 진행되고 있는 도메인에 대해 도메인 등록을 정지시킨다거나,
도메인을 건드리기 싫다면 그들이 즐겨 하는 WARNING(워닝) 차단을 진행하여 공격을 즉각적이고 영구적으로 차단할 수 있겠지만,
KISA의 입장은 "침해사고가 발생하기 전까지 대응 불가"였으며 조치 역시 없었습니다.
지금 생각해보면 기술적으로 그다지 "인기"있지도 않고, 일어난 도용사고라고 해봐야 아직까지는 소규모밖에 없어서
성과도 되지 않는 일에 민원을 무릎쓰며 개입할 의지는 그닥 없어 보입니다.
만약 조치를 할 의지가 생긴다 하더라도, KISA는 도메인에 대한 이해가 매우 부족한 기관으로써,
당장 2018년에도 한자도메인 사태를 일으키고 이를 지적하는 보안 연구자에게 이메일로 욕설을 한 바 있고,
2023년에는 상용 서비스용으로 사용하고 있는 CF(CloudFlare)사의 도메인을 통보도 없이 차단하여 한국 인터넷망에 대규모 서비스 장애를 유발하고
그 사유를 공개하는 것을 거부하기도 하였습니다.
저는 상기의 사유들로 인해 KISA의 개입이 이 프로젝트에 유의미한 도움이 되지 않을 것이라 판단하고 있으며,
현재 저는 KISA측과 사이버보안과 관련된 정보를 일체 공유하고 있지 않습니다.
이 웹사이트는 현재 유령회원 정해준(GhostUser#2863)이 운영하고 있습니다.
다음 버튼을 통해 제 홈페이지와 Github를 확인하실 수 있습니다.