2018.08.28

해커가 합병된 기업의 이전 도메인을 노리는 이유

J.M. Porup | CSO
이메일은 보안의 만능열쇠다. 패스워드 재설정 대부분이 이메일로 이뤄지기 때문이다. 따라서 기한이 만료된 도메인을 방치하면 해커가 이 도메인을 재등록해 패스워드를 빼내는 데 악용할 수 있다.



특히 설립과 해산, 합병이 빈번한 법률회사가 이런 위협에 취약하다. 일반적으로 인수나 합병 과정에서는 기업명을 바꾸면서 새로운 도메인을 사용하거나 인수된 기업이 기존의 브랜드와 도메인을 버리곤한다. 이런 도메인을 기한이 만료된 채로 방치하는 것이 위험할 수 있다. 보안 연구자 거버 재즈머리는 "미국에서는 지난 2017년에만 102건의 대형 로펌 간의 인수합병이 있었다. 역대 최대치다. 더 작은 업체까지 보면 수천건에 달할 것이다"라고 말했다.

재즈머리는 이 문제가 얼마나 심각한지 직접 확인해봤다. 합병된 여러 로펌의 기존 도메인을 구매해 이메일 서버를 설정한 것이다. 그러자 해킹 관련 작업을 아무 것도 하지 않고도 금융정보와 다른 로펌의 세금계산서, 고객의 소송 관련 기밀 문서, 링크드인 업데이트 등 민감한 정보가 계속해서 수신됐다(재즈머리는 테스트 후 해당 도메인을 원래 소유자에게 돌려줬다).

이 기술은 사기에도 악용될 수 있다. 재즈머리는 "만료된 도메인을 사들여 온라인 쇼핑몰을 다시 열 수 있다. 해커는 아카이빙된 기존 웹페이지를 다운로드해 올려 놓고 실제 결제를 유도할 수 있다. 이전 쇼핑몰이 CRM 시스템이나 메일침프(MailChimp)를 활용해 마케팅했다면 해커가 이메일로 암호를 초기화한 후 이들 계정으로 접속해 이전 고객의 리스트를 확보할 수도 있다. 이후 특별 할인 코드를 고객을 유혹해 사기를 벌일 수 있다"라고 말했다.

만료된 도메인은 도메인 등록 업체를 통해 매일 공개된다. 누구나 제한 없이 이런 도메인의 리스트를 다운로드할 수 있다. 뉴스에서 인수합병된 기업을 찾아 관련 도메인을 재등록하면 된다. 재즈머리는 재등록한 도메인과 서드파티 패스워드 유출정보를 함께 악용할 가능성도 제기했다. 실제로 HaveIBeenPwned.com, SpyCloud.com 등의 서비스는 도메인 인증을 요구하는데, 그는 도메인을 통해 보안 질문을 쉽게 통과할 수 있었다. 암호를 여러 사이트에서 공통적으로 사용하는 사람이 여전히 많다는 것도 한 요인이었다.

그렇다면 기업이 인수합병으로 필요없게 된 도메인을 얼마나 오래 유지해야 할까? 그 대답은 "나중에 후회하는 것보다는 조심하는 편이 더 좋다"는 격언으로 대신할 수 있다. 사실 도메인 갱신 비용은 비싸지 않다. 오래된 도메인을 계속 유지하는 것은 가장 저렴한 사이버보안 수단이다. 재즈머리는 모든 들어오는 메일을 신뢰할 수 있는 관리자에게 재전송하는 포괄적인 이메일 서비스를 설정할 것을 조언했다. 이 관리자가 이전 혹은 현재 직원에게 발송된 메일을 확인하고 온라인 서비스용 패스워드 재설정 메일 관리를 맡게 된다. ciokr@idg.co.kr 



2018.08.28

해커가 합병된 기업의 이전 도메인을 노리는 이유

J.M. Porup | CSO
이메일은 보안의 만능열쇠다. 패스워드 재설정 대부분이 이메일로 이뤄지기 때문이다. 따라서 기한이 만료된 도메인을 방치하면 해커가 이 도메인을 재등록해 패스워드를 빼내는 데 악용할 수 있다.



특히 설립과 해산, 합병이 빈번한 법률회사가 이런 위협에 취약하다. 일반적으로 인수나 합병 과정에서는 기업명을 바꾸면서 새로운 도메인을 사용하거나 인수된 기업이 기존의 브랜드와 도메인을 버리곤한다. 이런 도메인을 기한이 만료된 채로 방치하는 것이 위험할 수 있다. 보안 연구자 거버 재즈머리는 "미국에서는 지난 2017년에만 102건의 대형 로펌 간의 인수합병이 있었다. 역대 최대치다. 더 작은 업체까지 보면 수천건에 달할 것이다"라고 말했다.

재즈머리는 이 문제가 얼마나 심각한지 직접 확인해봤다. 합병된 여러 로펌의 기존 도메인을 구매해 이메일 서버를 설정한 것이다. 그러자 해킹 관련 작업을 아무 것도 하지 않고도 금융정보와 다른 로펌의 세금계산서, 고객의 소송 관련 기밀 문서, 링크드인 업데이트 등 민감한 정보가 계속해서 수신됐다(재즈머리는 테스트 후 해당 도메인을 원래 소유자에게 돌려줬다).

이 기술은 사기에도 악용될 수 있다. 재즈머리는 "만료된 도메인을 사들여 온라인 쇼핑몰을 다시 열 수 있다. 해커는 아카이빙된 기존 웹페이지를 다운로드해 올려 놓고 실제 결제를 유도할 수 있다. 이전 쇼핑몰이 CRM 시스템이나 메일침프(MailChimp)를 활용해 마케팅했다면 해커가 이메일로 암호를 초기화한 후 이들 계정으로 접속해 이전 고객의 리스트를 확보할 수도 있다. 이후 특별 할인 코드를 고객을 유혹해 사기를 벌일 수 있다"라고 말했다.

만료된 도메인은 도메인 등록 업체를 통해 매일 공개된다. 누구나 제한 없이 이런 도메인의 리스트를 다운로드할 수 있다. 뉴스에서 인수합병된 기업을 찾아 관련 도메인을 재등록하면 된다. 재즈머리는 재등록한 도메인과 서드파티 패스워드 유출정보를 함께 악용할 가능성도 제기했다. 실제로 HaveIBeenPwned.com, SpyCloud.com 등의 서비스는 도메인 인증을 요구하는데, 그는 도메인을 통해 보안 질문을 쉽게 통과할 수 있었다. 암호를 여러 사이트에서 공통적으로 사용하는 사람이 여전히 많다는 것도 한 요인이었다.

그렇다면 기업이 인수합병으로 필요없게 된 도메인을 얼마나 오래 유지해야 할까? 그 대답은 "나중에 후회하는 것보다는 조심하는 편이 더 좋다"는 격언으로 대신할 수 있다. 사실 도메인 갱신 비용은 비싸지 않다. 오래된 도메인을 계속 유지하는 것은 가장 저렴한 사이버보안 수단이다. 재즈머리는 모든 들어오는 메일을 신뢰할 수 있는 관리자에게 재전송하는 포괄적인 이메일 서비스를 설정할 것을 조언했다. 이 관리자가 이전 혹은 현재 직원에게 발송된 메일을 확인하고 온라인 서비스용 패스워드 재설정 메일 관리를 맡게 된다. ciokr@idg.co.kr 

X