Punycode(퓨니코드)를 악용하는 피싱공격 발견

꿈을꾸는 파랑새

중국의 infosec 연구원들이 인터넷에서 조심성이 많은 사용자도 속일 수 있는 새로운 피싱 공격이 발견했다고 합니다. 해당 피싱공격은 파이어폭스, 구글 크롬, 오페라 웹 브라우저에서 알려진 취약점을 악용해서 가짜 도메인 네임을 애플, 구글, 아마존 등과 같이 정상적으로 운영하는 사이트로 표시해서 사용자의 로그인이나 금융서비스 같은 개인정보를 취득할 수가 있다고 합니다. 일단 100%는 아니지만, 기본적으로 사이트가 https에 연결이 되고 있는지를 확인을 하는 방법입니다. 예를 들어서 피싱 공격자가 피싱사이트를 하나 만들고 나서 사용자는 자신이 올바른 사이트에 접속했다고 생각을 하지만 실제로는 엉뚱한 사이트에 연결되어서 악용되고 있다는 것입니다.
예를 들어서 애플 사이트를 예로 되겠습니다. 해당 연구원들이 만든 사이트인데 해당 사이트는 가짜 애플 사이트입니다. 즉 해당 사이트 주소에 보면 진짜같이 표시된 것을 볼 수가 있습니다.

실제로는 보안 연구원들이 만든 가짜 사이트입니다. 가짜 사이트에 접속하면 화면과 같이 hey there이라는 메시지를 볼 수가 있습니다. 그리고 보안 인증서도 다르다는 것을 확인할 수가 있습니다. 즉 퓨니코드(Punycode) 유니코드 문자열을 호스트 이름에서 간단하게 허용된 문자만 있으며 인코딩을 할 수가 있으며 도메인 이름에 유니코드 문자를 사용할 수가 있기 때문에 IDNA를 통해서 피싱 공격을 할 수가 있습니다.

데모 사이트

물론 해당 문제를 해결하기 위해서 파이어폭스, 오페라, 사파리 브라우저에서는 해당 피싱공격으로부터 안전하게 사용을 하려고 국제화된 웹사이트에 접수하는 것을 제한하는 대신 신뢰할 수 있는 도메인만 원래 의도된 유니코드만 보여주고 나머지는 xn-이런 식으로 퓨니코드 이름을 보여주는 방식을 사용한다고 합니다. 그리고 해당 보안 연구원은 일단 지난 2017년1월20일에 해당 보안 문제를 구글과 모질라 측에 보고했으며 구글은 다음에 업데이트될 구글 크롬 브라우저에서 해당 보안 문제를 해결한 보안 업데이트를 진행을 한다고 하면 파이어폭스에서도 아직은 미해결이 되었지만, 임시로 해결하는 방법은 있습니다.

더 자세한 내용
먼저 파이어폭스를 실행하고 나서 about:config를 입력을 합니다. 그리고 나서 network.IDN_show_punycode를 검색을 합니다. 그리고 나서 해당 항목을 false로 변경에서 true로 변경해줍니다. 그리고 해당 부분을 수동을 변경할 수가 있는 브라우저는 파이어폭스뿐이면 다른 브라우저 등은 다음 보안 업데이트까지 기다려야 합니다. 일단 구글 크롬 같은 경우에는 몇 주 내에 해당 보안 업데이트를 진행을 한다고 합니다.
그리고 인터넷 사이트에서 사이트를 이동할 때에는 주소 표시 중에 수동으로 웹사이트를 입력하는 방법과 그리고 함부로 인터넷에 있는 링크 그리고 이메일에 첨부된 링크는 함부로 클릭을 하지 않는 것이 개인정보를 지키는 방법입니다.


이 글을 공유합시다

facebook twitter googleplus kakaostory naver

본문과 관련 있는 내용으로 댓글을 남겨주시면 감사하겠습니다.