동형 문자 공격: 유사한 문자를 이용한 사이버 사기
차례:
- 개요
- 동형문자 공격이란 무엇인가요?
- 실용적인 동음이의어 혼동 가능성
- 실용적인 동음이의어 혼동표
- 동음이의어 공격이 효과적인 이유
- 일반적인 동형문자 사용 사례 및 공격 벡터
- 실제 사례 및 캠페인 패턴
- 심층 분석 기술 – 유니코드, IDN 및 Punycode
- 유니코드 및 스크립트
- IDN과 Punycode
- 혼합된 문자 체계와 혼동하기 쉬운 문자 체계
- 공격 흐름 — 단계별 설명
- 탐지 실패 원인 — 미묘한 기술적 함정
- MITRE ATT&CK 매핑(상위 수준)
- 방어 조치 및 운영 권고 사항
- 정책 및 거버넌스
- 기술 제어
- 운영 관행
- 모범 사례 체크리스트
- 주목해야 할 새로운 트렌드
- 맺음말
개요
URL을 슬쩍 보고 익숙한 브랜드 이름을 보면 클릭하게 되는데, 그 순간 공격자에게 개인 정보를 넘겨주는 꼴이 됩니다. 이처럼 작은 시각적 오류(예를 들어, "o"가 사실은 그리스어 오미크론이고, 소문자 "l"이 대문자 "I"로 바뀌어 있는 경우)가 바로 동형 문자 공격의 핵심입니다. 동형 문자란 서로 다른 문자 체계(라틴어, 키릴어, 그리스어, 전각자 등)에서 시각적으로 유사한 문자를 말합니다. 공격자가 도메인, 파일 이름, 메시지 표시 이름 또는 코드에서 문자를 바꿔치기하면 사람은 물론 자동화된 방어 시스템조차 속아 넘어갑니다.
동형 문자 공격은 저비용 고효율의 기만 기법입니다. 피싱, 브랜드 사칭, 악성코드 배포, 공급망 혼란 유발, 단순한 탐지 규칙 우회 등에 사용됩니다. 이 블로그에서는 기술적 메커니즘(유니코드, IDN, Punycode), 공격자가 동형 문자를 악용하는 방법, 탐지 및 추적 접근법, 실제 사용 사례, MITRE 매핑, 그리고 Quick Heal/Seqrite와 같은 계층형 보호 기능을 포함한 실질적인 방어책에 대해 설명합니다.
동형문자 공격이란 무엇인가요?
동형 문자는 서로 비슷하게 생긴 문자입니다. 예를 들면 다음과 같습니다.
- 라틴어 a (U+0061)와 키릴 문자 а (U+0430)
- 라틴어 o (U+006F)와 그리스어 ο (오미크론, U+03BF)
- 라틴 문자 I (대문자 i, U+0049) vs 소문자 l (엘, U+006C) vs 키릴 문자 І (U+0406)
동형 문자 공격은 식별자(도메인, 파일 이름, 이메일 표시 이름)의 하나 이상의 문자를 시각적으로 혼동을 일으킬 수 있는 다른 문자로 바꿔 신뢰할 수 있는 리소스를 가장하는 공격입니다. 국제화 도메인 이름(IDN)에서 이러한 도메인은 ASCII 문자 체계에서 Punycode(xn-- 접두사)를 사용하여 표현되지만, 브라우저에서는 종종 원래의 유니코드 문자를 사용하여 렌더링되므로 사용자에게는 진짜처럼 보이는 URL이 제공됩니다.
Punycode의 간단한 예시 (개념적이며 익명화됨):
표시된 도메인: gοogle-example[.]com (라틴어 'o' 대신 그리스어 오미크론 사용)
Punycode (ASCII): xn--gogle-example-abc[.]com
실용적인 동음이의어 혼동 가능성
동형 문자 공격은 라틴어, 키릴어, 그리스어 등 서로 다른 언어 문자 체계에서 사용되는 시각적으로 유사한 문자를 악용합니다. 이러한 유사 문자는 사용자를 속이고, 신뢰할 수 있는 도메인을 위장하며, 일부 자동 필터를 우회하는 데에도 사용될 수 있습니다.
아래는 피싱 및 사칭 공격에서 흔히 악용되는 동형 문자 쌍을 보여주는 간략한 참고 자료입니다.
실용적인 동음이의어 혼동표
| 시각 | 정당한 인격 | 닮은 사람(들) | 스크립트 | 공격 시 흔히 사용되는 방법 |
| a | (U+0061) | 아 (U+0430) | 키릴 자모 | “페이팔”, “페이스북” |
| e | e (U+0065) | е (U+0435) | 키릴 자모 | “마이크로소프트”, “테슬라” |
| o | o (U+006F) | ο (U+03BF), ο (U+043E) | 그리스어/키릴 문자 | “구글”, “마이크로소프트” |
| i | 아이(U+0069) | ı (U+0131), І (U+0406) | 터키어 / 키릴 문자 | “인스타그램”, “마이크로소프트” |
| l | l (U+006C) | 나 (U+0049) | 라틴어 | “구글”, “마이크로소프트” |
| c | c (U+0063) | с (U+0441) | 키릴 자모 | “faсebook”, “miсrosoft” |
| p | p(U+0070) | р (U+0440) | 키릴 자모 | “페이팔”, “드롭박스” |
| s | s (U+0073) | s (U+0455) | 키릴 자모 | "마이크로소프트", "슬랙" |
| y | y (U+0079) | у (U+0443) | 키릴 자모 | “야후”, “페이팔” |
| x | x (U+0078) | х (U+0445) | 키릴 자모 | “хbox”, “linυx” |
| d | d (U+0064) | ԁ (U+0501) | 키릴 자모 | "클라우드플레어" |
| h | h (U+0068) | һ (U+04BB) | 키릴 자모 | “һbo”, “һulu” |
| n | n (U+006E) | n (U+0578) | 아르메니아 사람 | “립케딘”, “아마조프” |
| m | m (U+006D) | rn (순서) | 라틴어 (시각적 속임수) | "마이크로소프트" 대신 "rnicrosoft" |
| 0 | 0 (숫자 0) | O (U+004F), о (U+043E) | 라틴어/키릴 문자 | “마이크로소프트”, “구글” |
동형문자 공격이 효과적인 이유는 무엇일까요?
- 인간의 지각: 사람들은 URL을 시각적으로 평가하는 경향이 있으며, 미묘한 문자 차이를 알아차리는 데는 서툴다.
- 표시 방식과 저장 방식 불일치: 시스템이 ASCII(푸니코드)를 저장하면서도 유니코드로 표시할 수 있어 혼란을 야기할 수 있습니다.
- 정책/허용 목록의 공백보이는 문자열(정규화 없이)을 기반으로 하는 허용 목록은 IDN 기반 유사 항목을 놓칠 수 있습니다.
- 인증서 및 호스팅 가능 여부: 공격자는 유사한 도메인(Let's Encrypt 등)에 대한 TLS 인증서를 획득하여 합법적인 것처럼 보이게 할 수 있습니다.
- 자동화 격차: 많은 보안 파이프라인은 유니코드를 정규화하지 않거나 혼합 문자 탐지를 실행하지 않으므로 동형 문자가 보안을 뚫고 넘어갑니다.
일반적인 동형문자 사용 사례 및 공격 벡터
- 스피어피싱 및 자격 증명 탈취: 피싱 이메일에는 자격 증명 수집 양식을 호스팅하는 유사 도메인으로 연결되는 링크가 포함되어 있습니다.
- 비즈니스 이메일 침해(BEC): 청구서/결제 사기는 발신자의 표시 이름이나 청구서에 기재된 도메인이 겉보기에는 올바르지만 동음이의어가 포함된 경우입니다.
- 악성 광고/악성 소프트웨어 배포: 실행 파일과 업데이트는 분석가와 샌드박스를 속이기 위해 유사한 도메인에 호스팅됩니다.
- 사용자 이름/표시 이름 위조: 슬랙/팀즈/이메일에서 공격자들은 동명이인을 사칭하기 위해 표시 이름에 특이한 문자를 사용하는 계정을 등록합니다.
- 공급망 및 개발자 혼란: 패키지 이름, 저장소 이름 또는 변수 식별자에 유사한 문자가 포함되어 있으면 개발자가 악성 코드를 다운로드하거나 잘못된 바이너리를 실행할 수 있습니다.
실제 사례 및 캠페인 패턴
실질적이고 책임감 있는 조치를 취하기 위해, 다음은 익명 처리된 패턴 및 공개적으로 보고된 행동 사례입니다(특정 브랜드를 비난하는 내용은 포함되지 않습니다).
- 금융 관련 피싱 공격: 캠페인은 라틴 문자와 키릴 문자가 혼합된 결제 포털의 유사 도메인을 등록하고, 자격 증명 양식을 호스팅하며, 성공률을 높이기 위해 후속 조치를 취합니다.
- SaaS 사칭: 공격자들은 인기 있는 SaaS 로그인 페이지와 시각적으로 동일한 IDN을 등록하여 자격 증명을 탈취했으며, 종종 해당 도메인을 유효한 TLS 인증서 및 그럴듯한 HTML 로그인 양식과 결합했습니다.
- BEC에서의 임원 사칭: 이메일 클라이언트의 표시 이름(또는 약간의 도메인 변경)을 이용하여 긴급 이체를 요청하는 수법이 있습니다. 범죄자들은 사용자가 실제 반송 경로 도메인을 확인하지 않는다는 점을 악용합니다.
- 유사 다운로드 사이트를 통한 악성코드 배포: 가짜 다운로드 포털(예: 설치 프로그램용)은 도메인 평판이 새로워 샌드박스에서 악성 페이로드를 탐지하지 못하는 동형 도메인에 호스팅됩니다.
심층 분석 기술 – 유니코드, IDN 및 Punycode
유니코드 및 스크립트
유니코드는 라틴어, 키릴어, 그리스어, 아르메니아어, 히브리어, 아랍어 등 다양한 문자 체계를 포함하는 포괄적인 문자 집합입니다. 서로 다른 문자 체계의 많은 글리프는 일반적인 글꼴 크기에서 유사하거나 동일하게 보입니다.
IDN과 Punycode
도메인 이름 시스템(DNS)은 역사적으로 ASCII 문자만 지원했습니다. 비 ASCII 문자 이름을 허용하기 위해 IDNA(Internationalized Domain Names in Applications)는 xn-- 접두사가 붙는 ASCII 호환 인코딩인 Punycode를 사용합니다. 예를 들어, пример(키릴 문자)는 xn--e1afmkfd가 됩니다.
브라우저는 휴리스틱을 기반으로 유니코드 형식을 표시할지 푸니코드 형식을 표시할지 결정합니다. 도메인에서 단일 문자 체계의 문자만 사용하고 해당 문자 체계가 사용자의 로케일과 일치하는 경우, 브라우저는 종종 유니코드 문자열을 표시합니다. 이는 라틴 문자에 익숙한 사용자에게는 시각적으로 혼란스러울 수 있습니다.
혼합된 문자 체계와 혼동 가능성
공격자들은 종종 라틴 문자와 키릴 문자 또는 그리스 문자를 혼합하여 시각적으로 중요한 위치(브랜드 이름의 핵심, 도메인 레이블의 시작/끝 부분)에 사용하는 혼합 문자 도메인을 이용합니다.
탐지에 중요한 기술적 메커니즘:
- 정규화 형식(NFC, NFD, NFKC)은 정규 분해/합성을 변경하고 문자열 비교에 영향을 미칩니다.
- 혼동 가능한 문자 목록(유니코드 컨소시엄)은 시각적으로 혼동하기 쉬운 문자를 나열하며, 개발자는 이를 활용하여 유사 일치(fuzzy matching)를 수행할 수 있습니다.
- BIDI(양방향) 제어는 텍스트 렌더링을 반전시킬 수 있으며(\u202E), 공격자는 이를 이용하여 파일 이름이나 표시 이름을 난독화할 수 있습니다.
공격 흐름 - 단계별 설명
- 정찰 및 브랜딩공격자는 대상에서 사용되는 브랜드 이름, 일반적인 하위 도메인 및 현지화된 스크립트를 수집합니다.
- 도메인 준비: IDN을 허용하는 등록기관을 통해 동형 문자 도메인을 등록하고, 선택적으로 TLS 인증서를 발급받으세요.
- 호스팅 및 콘텐츠: 피싱 페이지, 다운로드 포털 또는 리디렉션 흐름을 설정하고, 이메일 템플릿이 해당 도메인을 가리키도록 구성합니다.
- 배달: 유사한 문자가 포함된 도메인으로 연결되는 이메일, 광고 또는 소셜 미디어 메시지를 보내고, 일반적인 신뢰 신호(로고, 유사한 문구)를 활용하세요.
- 수집 및 활용: 사용자 인증 정보를 수집하고, 악성 소프트웨어를 유포하고, 사기 또는 접근 권한 시장에서의 판매를 통해 수익을 창출하세요.
- 고집: 수집한 자격 증명을 사용하여 액세스 권한을 확장하거나 유사 도메인을 더 등록하여 캠페인을 순환하세요.
탐지가 실패하는 이유 — 미묘한 기술적 함정
- 유니코드 정규화 없음: 유니코드 정규화 없이 문자열을 직접 비교하는 도구는 일치하는 항목을 찾지 못합니다.
- 글꼴/렌더링 차이: 일부 글꼴은 차이점(세리프)을 드러내는 반면, 다른 글꼴은 차이점을 숨깁니다(작은 크기에서 산세리프).
- 혼합 스크립트 휴리스틱: 모든 필터가 혼합 문자를 차단하는 것은 아닙니다. 일부 유효성 검사는 ASCII 문자만 확인합니다.
- TLS의 잘못된 보안 인식: 유효한 인증서가 신원 증명은 아닙니다. 인증서의 투명성은 도움이 되지만, 불법 등록 패턴을 차단하지는 못합니다.
MITRE ATT&CK 매핑(상위 수준)
- 동형 문자 공격은 일반적으로 피싱 기반 초기 접근 방식과 관련이 있으며, 유사 도메인을 사용하여 자격 증명을 수집하는 페이지를 호스팅합니다.
- 공격자들은 오픈 소스 정보를 활용하여 그럴듯한 사칭 대상을 만들고, 리소스 개발 단계에서 기만적인 도메인과 TLS 인증서를 획득합니다.
- 위장 기술은 방어 체계를 회피하는 데 사용되며, 궁극적으로 자격 증명 도용, 사기 또는 더 광범위한 침입 활동을 가능하게 합니다.
| 단계 | 기술 | 공격 ID | 동형 문자의 관련성 |
| 초기 액세스 | 피싱: 스피어 피싱 링크 | T1566.002 | 유사 도메인은 자격 증명 페이지를 호스팅합니다. |
| 정찰 | 공개 웹사이트/도메인 검색 | T1593 | OSINT를 사용하여 특정 대상에 맞춘 동형문자를 제작합니다. |
| 자원 개발 | 도메인을 획득하세요 | T1583.001 | 동형 문자 도메인 및 TLS 인증서를 등록하세요. |
| 방어 회피 | 위장/기만적인 명칭 | T1036 | 동음이의어는 신뢰할 수 있는 이름을 사칭합니다. |
| 자격 증명 액세스 | 자격 증명 피싱 | T1531 / T1556 | 탈취에 사용된 자격 증명 |
| 영향 | 데이터 암호화 (사기 방지용) | T1486 / T1490 | 초기 벡터는 더 큰 침입으로 이어진다 |
방어 조치 및 운영 권고 사항
정책 및 거버넌스
- 조직은 가치가 높은 브랜드 및 서비스에 대해 유사한 도메인을 등록하는 것을 포함하는 공식적인 도메인 방어 전략을 유지해야 합니다.
- 명확한 IDN 사용 정책은 공식적인 커뮤니케이션에서 혼합 문자 도메인 사용을 금지해야 합니다.
기술적 통제
- 이메일 게이트웨이와 웹 프록시는 유니코드를 표준화하고 의심스러운 링크에 대해 Punycode 경고를 명확하게 표시해야 합니다.
- DNS 필터링 시스템은 새로 발견된 xn-- 도메인을 검토될 때까지 고위험군으로 간주해야 합니다.
- 인증서 투명성 모니터링 시스템은 유사 도메인에 대한 인증서가 발급될 경우 보안 팀에 경고를 보내야 합니다.
운영 관행
- 브랜드 모니터링 프로그램은 도메인 등록 및 악용 신고를 거의 실시간으로 추적해야 합니다.
- 피싱 시뮬레이션에는 사용자의 인식을 높이기 위해 실제와 유사한 문자 기반 시나리오가 포함되어야 합니다.
- 사고 대응 플레이북에는 도메인 등록기관 및 호스팅 제공업체에 대한 에스컬레이션 절차를 포함하여 삭제 워크플로를 문서화해야 합니다.
모범 사례 체크리스트
- 모든 중요 서비스에 다단계 인증을 적용하십시오.
- 들어오는 모든 URL을 정규화하고 검사하며, 필요한 경우 Punycode를 표시합니다.
- 새로 등록된 유사 도메인에 대한 인증서 투명성 및 수동 DNS 데이터를 모니터링합니다.
- 혼합 문자 도메인을 차단하거나 엄격하게 검토합니다.
- 동형문자 기법을 포함하는 피싱 시뮬레이션을 실행하세요.
- 중요 브랜드에 대해 방어적인 도메인 변형을 등록하세요.
- 재정 또는 자격 증명 관련 요청에 대해 2차 검증을 요구하십시오.
주목해야 할 새로운 트렌드
- 공격자들은 점점 더 대규모로 동형 문자 생성 및 도메인 등록을 자동화하고 있습니다.
- AI 기반 피싱은 미끼의 신뢰도를 높이는 동시에 동형 문자 도메인을 이용하여 기만 레이어를 구축합니다.
- 동음이의어 악용이 기만적인 패키지 및 저장소 이름을 통해 소프트웨어 공급망으로 확산되고 있습니다.
- 크로스 채널 사칭은 동형 문자, 채팅 플랫폼 및 음성 복제를 결합하여 신뢰도와 성공률을 높입니다.
맺음말
동형 문자 공격은 사소한 시각적 조작이 어떻게 심각한 보안 결함으로 이어질 수 있는지를 보여줍니다. 공격자는 유니코드의 복잡성과 인간의 인지 능력을 악용하여 사용자와 제대로 정규화되지 않은 방어 체계를 모두 우회합니다.
효과적인 완화를 위해서는 다층적인 제어가 필요합니다. 유니코드 정규화, 혼동 가능한 문자 일치, 혼합 문자 탐지, 사전 예방적 도메인 모니터링, 그리고 강력한 사용자 인증 프로세스가 여기에 포함됩니다. 이러한 조치들을 결합하면 공격자에게 상당한 비용과 복잡성을 초래하여 단순한 기만 기법으로는 훨씬 덜 효과적인 위협이 됩니다.
작성자
저자: 마틴 타드비
공저자: 니라즈 마카사레
