인터넷은 유용한 도구이지만, 동시에 위험이 도사리는 공간이기도 합니다. 최근에는 가짜 VPN 서비스를 판매하는 사기 이메일이 발견되어 사용자들의 금전적 손실과 개인 정보 유출을 야기하고 있습니다. 다행히도 이러한 사기를 식별하고 예방할 수 있는 방법들이 존재하지만, 일부 사기는 매우 교묘하여 쉽게 알아채기 어렵습니다. 특히 ‘퓨니코드(Punycode)’라는 기술을 이용한 피싱 공격은 더욱 지능적이고 식별하기 어려워 주의가 필요합니다. 퓨니코드 피싱 공격의 개념과 안전을 유지하는 방법에 대해 자세히 알아보겠습니다.
피싱 공격의 작동 원리
피싱 공격은 공격자가 신뢰할 수 있는 웹사이트를 모방하여 가짜 웹사이트를 만든 후, 사용자의 개인 정보를 탈취하는 행위입니다. 예를 들어, 공격자는 구글이나 페이스북 로그인 페이지와 매우 흡사한 가짜 페이지를 제작할 수 있습니다. 사용자가 URL을 자세히 확인하지 않으면 진짜 페이지라고 착각하여 로그인 정보를 입력하게 되고, 이 정보는 공격자에게 전송됩니다.
현재 웹 브라우저는 보안 기능이 강화되어 위험한 웹사이트 접속 시 사용자에게 경고를 표시하지만, 피싱 공격은 여전히 빈번하게 발생하고 있으며, 인터넷 사용자들은 이러한 위협에 대한 경각심을 가져야 합니다.
퓨니코드 도메인이란?
퓨니코드 도메인은 국제화 도메인 이름(IDN)을 등록할 때 사용되는 기술입니다. 영어 외의 다른 언어의 문자를 포함한 도메인 이름을 등록할 수 있도록 해줍니다. 예를 들어, 중국어 문자를 포함한 도메인을 등록하고자 할 때, 퓨니코드를 이용하여 중국어 문자를 ASCII 문자로 변환하여 등록할 수 있습니다. 이는 해당 언어 사용자에게 보다 친숙하고 기억하기 쉬운 도메인 이름을 제공하는 장점이 있습니다.
퓨니코드 피싱 공격의 위험성
퓨니코드는 외국어 문자를 ASCII 문자로 변환하는 과정에서, 일부 문자들이 시각적으로 거의 구별되지 않는 ASCII 문자로 변환될 수 있다는 점을 악용한 공격입니다. 예를 들어, 특정 외국어 문자는 영어의 ‘a’와 시각적으로 거의 동일하게 보일 수 있습니다.
실제로 Xudong Zheng이라는 개발자는 퓨니코드를 이용한 피싱 공격의 가능성을 입증하기 위해 www.xn--80ak6aa92e.com (실제로는 apple.com과 유사하게 보이는)과 같은 URL을 만들었습니다. 일반 사용자는 URL에 apple.com이 포함되어 있는 것처럼 보이기 때문에 애플 웹사이트에 접속했다고 착각할 수 있지만, 실제로는 전혀 다른 웹사이트에 접속한 것입니다.
이처럼 퓨니코드를 이용하면 인기 있는 웹사이트의 URL을 시각적으로 매우 흡사하게 위조할 수 있으며, 이를 통해 사용자를 속여 개인 정보를 탈취하거나 악성 코드를 설치하도록 유도할 수 있습니다.
취약한 브라우저
다음 브라우저는 퓨니코드 피싱 공격에 취약할 수 있습니다.
| Chrome | 57 버전 및 이전 버전 |
| 파이어폭스 | 모든 버전 |
| Internet Explorer | 추가 언어 팩(특히 러시아어)이 설치된 경우 |
| 오페라 | 모든 버전 |
안전한 브라우저
다음 브라우저 사용자들은 상대적으로 안전한 것으로 보입니다.
| 마이크로소프트 엣지 | 모든 버전 |
| 사파리 | 모든 버전 |
| Internet Explorer | 시스템에 영어만 설치된 경우 |
퓨니코드 피싱 공격 예방 방법
위험에 취약한 브라우저 목록에서 알 수 있듯이, 많은 사용자가 사용하는 크롬과 파이어폭스가 퓨니코드 피싱 공격에 취약합니다.
크롬 사용자의 경우, 58 버전으로 업데이트하면 퓨니코드 피싱 공격으로부터 안전하게 보호받을 수 있습니다. 57 버전 이하에서는 이 취약점에 노출될 수 있습니다.
파이어폭스 사용자는 브라우저 설정에서 다음과 같이 변경하여 퓨니코드 공격을 방지할 수 있습니다. about:config 페이지에 접속하여 “network.IDN_show_punycode” 설정을 검색한 후, 값을 “True”로 변경하십시오.
현재 오페라 브라우저는 이 문제에 대한 공식적인 해결책이 없지만, 관련 확장 프로그램을 사용하면 안전을 유지할 수 있습니다. 혹시 관련 확장 프로그램에 대해 알고 계시면 댓글로 알려주시기 바랍니다.
비밀번호 관리자의 활용
Xudong Zheng은 안전을 위해 비밀번호 관리자를 사용할 것을 권장합니다. 비밀번호 관리자는 사용자가 접속하는 웹사이트의 도메인을 자동으로 감지하고, 해당 도메인에 맞는 로그인 정보를 제안합니다. 퓨니코드 피싱 공격은 사용자의 브라우저를 속일 수 있지만, 비밀번호 관리자는 도메인을 정확하게 식별하기 때문에 피싱 공격을 방지하는 데 도움이 됩니다. 비밀번호 관리자가 로그인 정보를 제안하지 않으면, 가짜 웹사이트에 접속했을 가능성이 매우 높습니다.