포브스(Forbes)가 선정한 글로벌 2000대 기업의 4곳 중 3개 기업이 핵심 도메인 보안 조치를 취하지 않아 상당한 보안 위협에 노출된 것으로 나타났다. 도메인 등록기관이자 도메인 및 도메인 네임 시스템(Domain Name System, DNS) 위협 완화 분야의 세계 선도 기업인 CSC가 발표한 제3차 ‘연례 도메인 보안 보고서’ 내용이다.
CSC는 1899년에 설립된 미국 기업이다. 주로 기업 도메인명, DNS, 디지털 인증 관리, 디지털 브랜드, 사기 및 피싱 방지 등의 서비스를 제공하고 있다.
이처럼 가짜 도메인은 해당 브랜드가 쌓은 신뢰를 활용해 피싱 공격이나 기타 형태의 디지털 브랜드 남용하고 IP 침해를 감행하기 위해 쓰인다. 이로 인해 수익 손실, 트래픽 전환, 브랜드 평판 저하 등의 피해를 입을 수 있다. 호모글리프 도메인은 피싱 공격자 및 악의적 제3자가 취할 수 있는 무수한 도메인 스푸핑(spoofing)과 유사한 방식이다.
CSC는 보고서에서 크게 ▲137개 기업(6.8%)의 도메인 보안 점수는 0점 ▲엔터프라이즈급 도메인 등록 기관을 사용하는 기업의 45%는 레지스트리 록 배포 ▲DMARC(Domain-based Message Authentication, Reporting and Conformance, 이메일 인증 프로토콜)는 도메인 보안 수단 중 유일하게 올해 채택률 증가 등을 주요 사안으로 꼽았다.
세계 2000개 기업 중 137개 기업의 도메인 보안 점수는 0점이었다. 이들 회사는 도메인 보안 권장 조치를 배포하지 않을 경우 향후 ▲도메인 및 DNS 하이재킹 공격 ▲네트워크 및 데이터 침해 ▲피싱 및 랜섬웨어 공격 ▲비즈니스 이메일 계정 침해(BEC) 등 다양한 공격에 노출된다.
엔터프라이즈급 도메인 등록 기관을 사용하는 기업의 45%가 레지스트리 록을 배포하는 것으로 나타났다. 레지스트리 록은 우발적이거나 승인되지 않은 수정 또는 삭제로부터 도메인 네임을 보호하는 가성비 높은 수단이다. 소비자 등급 등록 기관을 사용하는 경우 레지스트리 록을 배포한 회사는 전체 5%에 불과했다. 글로벌 2000대 기업 중 전체 도메인 점수가 최고점을 기록한 기업은 6개에 불과했다.
DMARC(이메일 인증 프로토콜)는 도메인 보안 수단 중 유일하게 올해 채택률이 크게 증가했다. 공격 양과 복잡성 증가를 포함해 피싱 공격과 관련된 모든 뉴스를 고려할 때 DMARC 채택은 12개월간 12% 포인트가 늘어났다. 하지만 레지스트리 록, DNS 이중화 등 같은 기타 도메인 보안 조치는 지난해와 비교해 제한적인 증가세를 보였다.
CSC 보고서에 따르면 호모글리프 도메인을 등록하는 제3자의 82%가 신원을 적극적으로 숨기고 있는 것으로 나타났다. 이는 소유권을 감추려는 시도로 사악한 의도를 품고 있을 가능성을 암시한다.
마크 칼란드라 CSC 디지털 브랜드 서비스 사장은 "이번 보고서는 포브스 글로벌 2000대 기업 가운데 상당수가 어느 정도 진전을 이뤘음에도, 여전히 기본적인 도메인 보안 조치의 완전한 구현을 위한 노력을 간과하고 있음을 보여준다"며 "제로 트러스트 모델을 옹호하는 기업은 악성 도메인을 모니터링하는 데 초점을 맞추는 것을 우선순위로 삼아야 한다"고 강조했다.
이유정 기자 uzzoni@chosunbiz.com