웹사이트 스푸핑
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.
1. 개요
웹사이트 스푸핑은 사용자를 속여 신뢰할 수 있는 것처럼 보이는 가짜 웹사이트로 유도하는 기술로, 주로 디자인과 유사한 URL을 사용한다. 기술적으로는 URL 위조, 콘텐츠 위조 등의 방법을 사용하며, 도메인 포워딩, 제어 문자 삽입, 퓨니코드 악용 등의 기법이 활용된다. 웹사이트 스푸핑은 피싱, 이메일 스푸핑, 악성코드 유포, 사회 공학적 공격 등 다양한 목적으로 사용되며, 패러디나 정치적 공격에 악용되기도 한다. 이에 대응하기 위해 안티피싱 소프트웨어, DNS 필터링, 사용자 교육, 법적·제도적 대응 등의 노력이 이루어지고 있다.
더 읽어볼만한 페이지
- 사회공학 (보안) - 가짜뉴스
가짜 뉴스는 뉴스 형식을 띠지만 허위이거나 오도된 정보를 의미하며, 정치적, 경제적 동기를 가지고 인터넷과 소셜 미디어를 통해 확산되며, 사회적 분열과 민주주의를 위협하는 부정적인 효과를 초래한다. - 사회공학 (보안) - 스미싱
스미싱은 악성 앱 설치를 유도해 개인정보를 빼내는 사기 수법으로, 안드로이드 사용자는 "알 수 없는 소스" 옵션 설정을 변경하거나 스미싱 차단 앱을 설치하여 예방할 수 있다. - 인터넷 속임수 - 가짜뉴스
가짜 뉴스는 뉴스 형식을 띠지만 허위이거나 오도된 정보를 의미하며, 정치적, 경제적 동기를 가지고 인터넷과 소셜 미디어를 통해 확산되며, 사회적 분열과 민주주의를 위협하는 부정적인 효과를 초래한다. - 인터넷 속임수 - 클릭베이트
클릭베이트는 온라인 광고 수익이나 트래픽 확보를 위해 자극적인 제목과 이미지로 클릭을 유도하는 콘텐츠로, 내용이 실제와 다를 수 있으며 과장, 선정성, 허위 사실을 포함하여 비판받고 있다. - 인터넷 용어 - 비대칭 디지털 가입자 회선
비대칭 디지털 가입자 회선(ADSL)은 전화선을 이용하여 다운로드 속도가 더 빠른 비대칭적인 고속 데이터 통신을 제공하는 기술로, 주파수 분할 이중 방식과 이산 다중톤 변조 방식을 사용하며 거리와 잡음에 따라 속도 저하가 발생할 수 있고 광섬유 인터넷의 발전으로 서비스가 축소되고 있다. - 인터넷 용어 - 전자우편
전자우편은 컴퓨터 네트워크를 이용하여 편지와 메시지를 주고받는 시스템으로, 시분할 메인프레임 통신에서 시작하여 @ 기호 주소 체계 도입 후 아파넷을 통해 대중화되었으며, 다양한 형식의 파일 첨부와 스팸 등의 문제에도 불구하고 널리 사용되는 통신 수단이다.
| 웹사이트 스푸핑 | |
|---|---|
| 개요 | |
| 유형 | 사기 |
| 목적 | 기만적인 의도로 웹사이트 콘텐츠를 위조 |
| 관련 공격 | 피싱 파밍 |
| 상세 정보 | |
| 설명 | 웹사이트 스푸핑은 사용자를 속여 개인 정보를 훔치거나 악성 코드를 배포하기 위해 합법적인 웹사이트처럼 보이도록 설계된 사기성 웹사이트를 만드는 행위다. 공격자는 유명 브랜드나 조직의 디자인, 레이아웃, 콘텐츠를 복제하여 사용자가 자신의 웹사이트를 신뢰하도록 속인다. 사용자가 스푸핑된 웹사이트에 로그인 자격 증명, 금융 정보 또는 개인 식별 정보(PII)를 입력하면 공격자는 이 정보를 수집하여 신원 도용, 금융 사기 또는 기타 악의적인 목적으로 사용할 수 있다. |
| 기술 | 합법적인 웹사이트의 HTML 코드를 복사하여 자신의 서버에 호스팅 합법적인 웹사이트와 유사한 도메인 이름 사용 (예: "example.com" 대신 "examp1e.com") 검색 엔진 최적화(SEO) 기술을 사용하여 스푸핑된 웹사이트가 검색 결과에서 더 높은 순위를 차지하도록 함 자바스크립트 또는 기타 스크립팅 언어를 사용하여 웹사이트의 동작을 위조하고 사용자 입력을 캡처 |
| 예방 | 웹사이트 주소를 주의 깊게 확인하고 오타나 비정상적인 문자가 있는지 확인 HTTPS를 사용하는 웹사이트를 방문하고 유효한 TLS/SSL 인증서가 있는지 확인 이메일이나 문자 메시지의 링크를 클릭하기 전에 신중하게 생각하고, 의심스러운 링크는 직접 입력하여 웹사이트를 방문 피싱 방지 도구 모음 및 웹 브라우저 확장 프로그램을 사용하여 스푸핑된 웹사이트를 감지 정기적으로 소프트웨어를 업데이트하고 바이러스 백신 소프트웨어를 사용하여 악성 코드를 예방 |
| 탐지 | 웹사이트의 도메인 이름 및 TLS/SSL 인증서를 확인 웹사이트의 콘텐츠 및 디자인이 다른 합법적인 웹사이트와 일치하는지 확인 웹사이트가 개인 정보를 요청하는지 확인 URL 필터링 및 웹 트래픽 분석을 사용하여 스푸핑된 웹사이트를 식별 |
| 위험 | 개인 정보 유출 금융 정보 유출 악성 코드 감염 신원 도용 금전적 손실 |
| 대응 | 스푸핑된 웹사이트를 발견하면 해당 웹사이트를 신고 스푸핑된 웹사이트에 개인 정보를 입력한 경우, 즉시 비밀번호를 변경하고 관련 계정을 모니터링 금융 기관에 연락하여 계정을 보호 개인 정보 보호 및 보안에 대한 인식을 높임 |
| 참고 자료 | |
| 관련 문서 | 피싱 파밍 악성 코드 신원 도용 |
2. 기술적 방법
웹사이트 스푸핑은 일반적으로 목표 웹사이트의 디자인을 채택하며, 때로는 유사한 URL을 갖는다.[1] 더 정교한 공격은 공격자가 피해자의 모든 트래픽을 공격자의 컴퓨터를 거치도록 하여 피해자의 민감한 정보를 얻는 방식으로 월드 와이드 웹의 "그림자 복사본"을 생성하는 결과를 낳는다.[2]
또 다른 기술은 '클로킹된' URL을 사용하는 것이다.[3] 도메인 포워딩을 사용하거나, 제어 문자를 삽입하여 악성 웹사이트의 실제 주소를 숨기면서 URL이 정품인 것처럼 보이게 할 수 있다. Punycode도 이 목적에 사용될 수 있다. Punycode 기반 공격은 공통 글꼴에서 다른 쓰기 시스템의 유사한 문자를 악용한다. 예를 들어, 큰 글꼴에서 그리스 문자 타우(τ)는 라틴 소문자 t와 모양이 유사하다. 그러나 그리스 문자 타우는 punycode에서 5xa로 표시되는 반면, 라틴 소문자는 ASCII 시스템에 존재하기 때문에 단순히 t로 표시된다. 2017년, 한 보안 연구원은 xn--80ak6aa92e.com 도메인을 등록하여 여러 주류 브라우저에서 apple.com으로 표시되게 하는 데 성공했다. 사용된 문자는 라틴 문자에 속하지 않았지만, 해당 브라우저의 기본 글꼴로 인해 최종 결과는 라틴 문자와 구별할 수 없는 비 라틴 문자였다.[4][5]
2. 1. URL 위조
웹사이트 스푸핑은 일반적으로 목표 웹사이트의 디자인을 채택하며, 때로는 유사한 URL을 갖는다.[1] 더 정교한 공격은 공격자가 피해자의 모든 트래픽을 공격자의 컴퓨터를 거치도록 하여 피해자의 민감한 정보를 얻는 방식으로 월드 와이드 웹의 "그림자 복사본"을 생성하는 결과를 낳는다.[2]또 다른 기술은 '클로킹된' URL을 사용하는 것이다.[3] 도메인 포워딩을 사용하거나, 제어 문자를 삽입하여 악성 웹사이트의 실제 주소를 숨기면서 URL이 정품인 것처럼 보이게 할 수 있다. Punycode도 이 목적에 사용될 수 있다. Punycode 기반 공격은 공통 글꼴에서 다른 쓰기 시스템의 유사한 문자를 악용한다. 예를 들어, 큰 글꼴에서 그리스 문자 타우(τ)는 라틴 소문자 t와 모양이 유사하다. 그러나 그리스 문자 타우는 punycode에서 5xa로 표시되는 반면, 라틴 소문자는 ASCII 시스템에 존재하기 때문에 단순히 t로 표시된다. 2017년, 한 보안 연구원은 xn--80ak6aa92e.com 도메인을 등록하여 여러 주류 브라우저에서 apple.com으로 표시되게 하는 데 성공했다. 사용된 문자는 라틴 문자에 속하지 않았지만, 해당 브라우저의 기본 글꼴로 인해 최종 결과는 라틴 문자와 구별할 수 없는 비 라틴 문자였다.[4][5]
2. 1. 1. 도메인 포워딩
웹사이트 스푸핑은 일반적으로 목표 웹사이트의 디자인을 채택하며, 때로는 유사한 URL을 갖는다.[1] 더 정교한 공격은 공격자가 피해자의 모든 트래픽을 공격자의 컴퓨터를 거치도록 하여 피해자의 민감한 정보를 얻는 방식으로 월드 와이드 웹의 "그림자 복사본"을 생성하는 결과를 낳는다.[2]'클로킹된' URL을 사용하는 또 다른 기술이 있다.[3] 도메인 포워딩을 사용하거나, 제어 문자를 삽입하여 악성 웹사이트의 실제 주소를 숨기면서 URL이 정품인 것처럼 보이게 할 수 있다. Punycode도 이 목적에 사용될 수 있다. Punycode 기반 공격은 공통 글꼴에서 다른 쓰기 시스템의 유사한 문자를 악용한다. 예를 들어, 큰 글꼴에서 그리스 문자 타우(τ)는 라틴 소문자 t와 모양이 유사하다. 그러나 그리스 문자 타우는 punycode에서 5xa로 표시되는 반면, 라틴 소문자는 ASCII 시스템에 존재하기 때문에 단순히 t로 표시된다. 2017년, 한 보안 연구원은 xn--80ak6aa92e.com 도메인을 등록하여 여러 주류 브라우저에서 apple.com으로 표시되게 하는 데 성공했다. 사용된 문자는 라틴 문자에 속하지 않았지만, 해당 브라우저의 기본 글꼴로 인해 최종 결과는 라틴 문자와 구별할 수 없는 비 라틴 문자였다.[4][5]
2. 1. 2. 제어 문자 삽입
웹사이트 스푸핑은 일반적으로 목표 웹사이트의 디자인을 채택하며, 때로는 유사한 URL을 갖는다.[1] 더 정교한 공격은 공격자가 피해자의 모든 트래픽을 공격자의 컴퓨터를 거치도록 하여 피해자의 민감한 정보를 얻는 방식으로 월드 와이드 웹의 "그림자 복사본"을 생성하는 결과를 낳는다.[2]또 다른 기술은 '클로킹된' URL을 사용하는 것이다.[3] 도메인 포워딩을 사용하거나, 제어 문자를 삽입하여 악성 웹사이트의 실제 주소를 숨기면서 URL이 정품인 것처럼 보이게 할 수 있다. Punycode도 이 목적에 사용될 수 있다. Punycode 기반 공격은 공통 글꼴에서 다른 쓰기 시스템의 유사한 문자를 악용한다. 예를 들어, 큰 글꼴에서 그리스 문자 타우(τ)는 라틴 소문자 t와 모양이 유사하다. 그러나 그리스 문자 타우는 punycode에서 5xa로 표시되는 반면, 라틴 소문자는 ASCII 시스템에 존재하기 때문에 단순히 t로 표시된다. 2017년, 한 보안 연구원은 xn--80ak6aa92e.com 도메인을 등록하여 여러 주류 브라우저에서 apple.com으로 표시되게 하는 데 성공했다. 사용된 문자는 라틴 문자에 속하지 않았지만, 해당 브라우저의 기본 글꼴로 인해 최종 결과는 라틴 문자와 구별할 수 없는 비 라틴 문자였다.[4][5]
2. 1. 3. 퓨니코드 악용
웹사이트 스푸핑은 일반적으로 목표 웹사이트의 디자인을 채택하며, 때로는 유사한 URL을 갖는다.[1] 더 정교한 공격은 공격자가 피해자의 모든 트래픽을 공격자의 컴퓨터를 거치도록 하여 피해자의 민감한 정보를 얻는 방식으로 월드 와이드 웹의 "그림자 복사본"을 생성하는 결과를 낳는다.[2]또 다른 기술은 '클로킹된' URL을 사용하는 것이다.[3] 도메인 포워딩을 사용하거나, 제어 문자를 삽입하여 악성 웹사이트의 실제 주소를 숨기면서 URL이 정품인 것처럼 보이게 할 수 있다. Punycode도 이 목적에 사용될 수 있다. Punycode 기반 공격은 공통 글꼴에서 다른 쓰기 시스템의 유사한 문자를 악용한다. 예를 들어, 큰 글꼴에서 그리스 문자 타우(τ)는 라틴 소문자 t와 모양이 유사하다. 그러나 그리스 문자 타우는 punycode에서 5xa로 표시되는 반면, 라틴 소문자는 ASCII 시스템에 존재하기 때문에 단순히 t로 표시된다. 2017년, 한 보안 연구원은 xn--80ak6aa92e.com 도메인을 등록하여 여러 주류 브라우저에서 apple.com으로 표시되게 하는 데 성공했다. 사용된 문자는 라틴 문자에 속하지 않았지만, 해당 브라우저의 기본 글꼴로 인해 최종 결과는 라틴 문자와 구별할 수 없는 비 라틴 문자였다.[4][5]
2. 2. 콘텐츠 위조
웹사이트 스푸핑은 일반적으로 목표 웹사이트의 디자인을 채택하며, 때로는 유사한 URL을 갖는다.[1] 더 정교한 공격은 공격자가 피해자의 모든 트래픽을 공격자의 컴퓨터를 거치도록 하여 피해자의 민감한 정보를 얻는 방식으로 월드 와이드 웹의 "그림자 복사본"을 생성하는 결과를 낳는다.[2]또 다른 기술은 '클로킹된' URL을 사용하는 것이다.[3] 도메인 포워딩을 사용하거나, 제어 문자를 삽입하여 악성 웹사이트의 실제 주소를 숨기면서 URL이 정품인 것처럼 보이게 할 수 있다. Punycode도 이 목적에 사용될 수 있다. Punycode 기반 공격은 공통 글꼴에서 다른 쓰기 시스템의 유사한 문자를 악용한다. 예를 들어, 큰 글꼴에서 그리스 문자 타우(τ)는 라틴 소문자 t와 모양이 유사하다. 그러나 그리스 문자 타우는 punycode에서 5xa로 표시되는 반면, 라틴 소문자는 ASCII 시스템에 존재하기 때문에 단순히 t로 표시된다. 2017년, 한 보안 연구원은 xn--80ak6aa92e.com 도메인을 등록하여 여러 주류 브라우저에서 apple.com으로 표시되게 하는 데 성공했다. 사용된 문자는 라틴 문자에 속하지 않았지만, 해당 브라우저의 기본 글꼴로 인해 최종 결과는 라틴 문자와 구별할 수 없는 비 라틴 문자였다.[4][5]
2. 2. 1. 미러링
웹사이트 스푸핑은 일반적으로 목표 웹사이트의 디자인을 채택하며, 때로는 유사한 URL을 갖는다.[1] 더 정교한 공격은 공격자가 피해자의 모든 트래픽을 공격자의 컴퓨터를 거치도록 하여 피해자의 민감한 정보를 얻는 방식으로 월드 와이드 웹의 "그림자 복사본"을 생성하는 결과를 낳는다.[2]또 다른 기술은 '클로킹된' URL을 사용하는 것이다.[3] 도메인 포워딩을 사용하거나, 제어 문자를 삽입하여 악성 웹사이트의 실제 주소를 숨기면서 URL이 정품인 것처럼 보이게 할 수 있다. Punycode도 이 목적에 사용될 수 있다. Punycode 기반 공격은 공통 글꼴에서 다른 쓰기 시스템의 유사한 문자를 악용한다. 예를 들어, 큰 글꼴에서 그리스 문자 타우(τ)는 라틴 소문자 t와 모양이 유사하다. 그러나 그리스 문자 타우는 punycode에서 5xa로 표시되는 반면, 라틴 소문자는 ASCII 시스템에 존재하기 때문에 단순히 t로 표시된다. 2017년, 한 보안 연구원은 xn--80ak6aa92e.com 도메인을 등록하여 여러 주류 브라우저에서 apple.com으로 표시되게 하는 데 성공했다. 사용된 문자는 라틴 문자에 속하지 않았지만, 해당 브라우저의 기본 글꼴로 인해 최종 결과는 라틴 문자와 구별할 수 없는 비 라틴 문자였다.[4][5]
3. 목적
웹사이트 스푸핑의 목표는 사기적일 수 있으며, 종종 피싱 또는 이메일 스푸핑과 관련되거나, 스푸핑된 사이트가 대표한다고 주장하는 사람이나 단체를 비판하거나 조롱하기 위한 것일 수 있다.[6][7] "스푸프"는 기본 의미가 순수한 패러디인 표현이기 때문에, 이 활동에 적합하지 않은 용어로 여겨진다. 따라서 정부 부처 및 은행과 같은 보다 책임감 있는 기관에서는 "사기", "위조" 또는 "피싱"과 같은 보다 명시적인 설명을 선호하며 이를 피하는 경향이 있다.[6][7]
이 기술을 사용하여 조직을 패러디한 예로, 2006년 11월에 www.msfirefox.com 및 www.msfirefox.net이라는 두 개의 스푸핑 웹사이트가 제작되었는데, 이들은 마이크로소프트가 파이어폭스를 인수하여 "Microsoft Firefox 2007"을 출시했다고 주장했다.[8] 2023년에는 문화 잼밍 단체인 바비 해방 기구가 mattel-corporate.com URL을 사용하여 마텔 기업 웹사이트를 닮은 풍자적 패러디 페이지를 만들기도 했다.[9] 이들은 배우 대릴 한나를 마텔 대변인으로 위장하여 존재하지 않는 인형에 더 많은 정당성을 부여하고 2023년 실사 영화를 둘러싼 홍보를 활용하여 "MyCelia EcoWarrior"라는 가상의 바비 인형 라인을 발표했다.[10] 이 웹사이트가 정당한 마텔 기업 사이트와 매우 유사했기 때문에 여러 뉴스 매체에서 실제로 존재하는 것으로 오인하여 보도했고, 결국 정정 및 관련 기사를 삭제했다.[11][10]
3. 1. 피싱 및 정보 탈취
웹사이트 스푸핑의 목표는 사기적일 수 있으며, 종종 피싱 또는 이메일 스푸핑과 관련되거나, 스푸핑된 사이트가 대표한다고 주장하는 사람이나 단체를 비판하거나 조롱하기 위한 것일 수 있다.[6][7] "스푸프"는 기본 의미가 순수한 패러디인 표현이기 때문에, 이 활동에 적합하지 않은 용어로 여겨진다. 따라서 정부 부처 및 은행과 같은 보다 책임감 있는 기관에서는 "사기", "위조" 또는 "피싱"과 같은 보다 명시적인 설명을 선호하며 이를 피하는 경향이 있다.[6][7]이 기술을 사용하여 조직을 패러디한 예로, 2006년 11월에 www.msfirefox.com 및 www.msfirefox.net이라는 두 개의 스푸핑 웹사이트가 제작되었는데, 이들은 마이크로소프트가 파이어폭스를 인수하여 "Microsoft Firefox 2007"을 출시했다고 주장했다.[8] 2023년에는 문화 잼밍 단체인 바비 해방 기구가 mattel-corporate.com URL을 사용하여 마텔 기업 웹사이트를 닮은 풍자적 패러디 페이지를 만들기도 했다.[9] 이들은 배우 대릴 한나를 마텔 대변인으로 위장하여 존재하지 않는 인형에 더 많은 정당성을 부여하고 2023년 실사 영화를 둘러싼 홍보를 활용하여 "MyCelia EcoWarrior"라는 가상의 바비 인형 라인을 발표했다.[10] 이 웹사이트가 정당한 마텔 기업 사이트와 매우 유사했기 때문에 여러 뉴스 매체에서 실제로 존재하는 것으로 오인하여 보도했고, 결국 정정 및 관련 기사를 삭제했다.[11][10]
3. 2. 이메일 스푸핑
3. 3. 악성코드 유포
웹사이트 스푸핑의 목표는 사기성이 있을 수 있으며, 피싱 또는 이메일 스푸핑과 관련되거나, 스푸핑된 사이트가 대표한다고 주장하는 사람이나 단체를 비판하거나 조롱하기 위한 것일 수 있다.[6][7] "스푸프"는 순수한 패러디를 의미하기도 하지만, 웹사이트 스푸핑의 목적은 악의적인 경우가 많기 때문에 적합하지 않은 용어로 여겨진다. 따라서 정부 부처나 은행과 같은 기관에서는 "사기", "위조", "피싱"과 같은 보다 명시적인 표현을 선호한다.[6][7]이러한 기술을 사용하여 조직을 패러디한 예로, 2006년 11월 www.msfirefox.com 및 www.msfirefox.net이라는 두 개의 스푸핑 웹사이트가 제작되어 마이크로소프트가 파이어폭스를 인수하여 "Microsoft Firefox 2007"을 출시했다고 주장한 사건이 있었다.[8] 2023년에는 문화 잼밍 단체인 바비 해방 기구가 mattel-corporate.com URL을 사용하여 마텔 기업 웹사이트를 닮은 풍자적 패러디 페이지를 만들기도 했다.[9] 이들은 배우 대릴 한나를 마텔 대변인으로 위장하여 "MyCelia EcoWarrior"라는 가상의 바비 인형 라인을 발표했는데,[10] 이는 2023년 실사 영화를 둘러싼 홍보를 활용한 것이었다. 이 웹사이트가 실제 마텔 기업 사이트와 매우 유사하여 여러 뉴스 매체에서 실제로 존재하는 것으로 오인하여 보도하는 해프닝이 벌어지기도 했다.[11][10]
3. 4. 사회 공학적 공격
웹사이트 스푸핑의 목표는 사기적일 수 있으며, 종종 피싱 또는 이메일 스푸핑과 관련되거나, 스푸핑된 사이트가 대표한다고 주장하는 사람이나 단체를 비판하거나 조롱하기 위한 것일 수 있다. 그 목적이 종종 악의적이기 때문에 "스푸프"(기본 의미가 순수한 패러디인 표현)는 이 활동에 적합하지 않은 용어이다. 따라서 정부 부처 및 은행과 같은 보다 책임감 있는 기관에서는 "사기", "위조" 또는 "피싱"과 같은 보다 명시적인 설명을 선호하며 이를 피하는 경향이 있다.[6][7]이 기술을 사용하여 조직을 패러디한 예로, 2006년 11월에 www.msfirefox.com 및 www.msfirefox.net이라는 두 개의 스푸핑 웹사이트가 제작되었는데, 이들은 마이크로소프트가 파이어폭스를 인수하여 "Microsoft Firefox 2007"을 출시했다고 주장했다.[8] 이는 마이크로소프트에 대한 부정적 여론을 조성하기 위한 시도로 해석될 수 있다.
유사한 사건이 2023년에 발생했는데, 문화 잼밍 단체인 바비 해방 기구가 mattel-corporate.com URL을 사용하여 마텔 기업 웹사이트를 닮은 풍자적 패러디 페이지를 만들었다.[9] 그들은 배우 대릴 한나를 마텔 대변인으로 위장하여 존재하지 않는 인형에 더 많은 정당성을 부여하고 2023년 실사 영화를 둘러싼 홍보를 활용하여 "MyCelia EcoWarrior"라는 가상의 바비 인형 라인을 발표했다.[10] 웹사이트가 정당한 마텔 기업 사이트와 매우 유사했기 때문에 여러 뉴스 매체에서 실제로 존재하는 것으로 오인하여 보도했고, 결국 정정 및 관련 기사를 삭제했다.[11][10] 이는 보수적인 기업인 마텔에 대한 진보 진영의 공격으로 볼 수 있다.
3. 4. 1. 패러디 및 풍자
웹사이트 스푸핑의 목표는 사기적일 수 있으며, 종종 피싱 또는 이메일 스푸핑과 관련되거나, 스푸핑된 사이트가 대표한다고 주장하는 사람이나 단체를 비판하거나 조롱하기 위한 것일 수 있다. 그 목적이 종종 악의적이기 때문에 "스푸프"(기본 의미가 순수한 패러디인 표현)는 이 활동에 적합하지 않은 용어이다. 따라서 정부 부처 및 은행과 같은 보다 책임감 있는 기관에서는 "사기", "위조" 또는 "피싱"과 같은 보다 명시적인 설명을 선호하며 이를 피하는 경향이 있다.[6][7]이 기술을 사용하여 조직을 패러디한 예로, 2006년 11월에 www.msfirefox.com 및 www.msfirefox.net이라는 두 개의 스푸핑 웹사이트가 제작되었는데, 이들은 마이크로소프트가 파이어폭스를 인수하여 "Microsoft Firefox 2007"을 출시했다고 주장했다.[8] 유사한 사건이 2023년에 발생했는데, 문화 잼밍 단체인 바비 해방 기구가 mattel-corporate.com URL을 사용하여 마텔 기업 웹사이트를 닮은 풍자적 패러디 페이지를 만들었다.[9] 그들은 배우 대릴 한나를 마텔 대변인으로 위장하여 존재하지 않는 인형에 더 많은 정당성을 부여하고 2023년 실사 영화를 둘러싼 홍보를 활용하여 "MyCelia EcoWarrior"라는 가상의 바비 인형 라인을 발표했다.[10] 웹사이트가 정당한 마텔 기업 사이트와 매우 유사했기 때문에 여러 뉴스 매체에서 실제로 존재하는 것으로 오인하여 보도했고, 결국 정정 및 관련 기사를 삭제했다.[11][10]
3. 4. 2. 정치적 목적
웹사이트 스푸핑의 목표는 사기적일 수 있으며, 종종 피싱 또는 이메일 스푸핑과 관련되거나, 스푸핑된 사이트가 대표한다고 주장하는 사람이나 단체를 비판하거나 조롱하기 위한 것일 수 있다. 그 목적이 종종 악의적이기 때문에 "스푸프"(기본 의미가 순수한 패러디인 표현)는 이 활동에 적합하지 않은 용어이다. 따라서 정부 부처 및 은행과 같은 보다 책임감 있는 기관에서는 "사기", "위조" 또는 "피싱"과 같은 보다 명시적인 설명을 선호하며 이를 피하는 경향이 있다.[6][7]이 기술을 사용하여 조직을 패러디한 예로, 2006년 11월에 www.msfirefox.com 및 www.msfirefox.net이라는 두 개의 스푸핑 웹사이트가 제작되었는데, 이들은 마이크로소프트가 파이어폭스를 인수하여 "Microsoft Firefox 2007"을 출시했다고 주장했다.[8] 이는 마이크로소프트에 대한 부정적 여론을 조성하기 위한 시도로 해석될 수 있다.
유사한 사건이 2023년에 발생했는데, 문화 잼밍 단체인 바비 해방 기구가 mattel-corporate.com URL을 사용하여 마텔 기업 웹사이트를 닮은 풍자적 패러디 페이지를 만들었다.[9] 그들은 배우 대릴 한나를 마텔 대변인으로 위장하여 존재하지 않는 인형에 더 많은 정당성을 부여하고 2023년 실사 영화를 둘러싼 홍보를 활용하여 "MyCelia EcoWarrior"라는 가상의 바비 인형 라인을 발표했다.[10] 웹사이트가 정당한 마텔 기업 사이트와 매우 유사했기 때문에 여러 뉴스 매체에서 실제로 존재하는 것으로 오인하여 보도했고, 결국 정정 및 관련 기사를 삭제했다.[11][10] 이는 보수적인 기업인 마텔에 대한 진보 진영의 공격으로 볼 수 있다.
4. 대응 방안
4. 1. 안티피싱 소프트웨어
피싱 방지 소프트웨어 개발 노력에서 스푸핑된 웹사이트가 주를 이루지만, 그 효과에 대한 우려도 존재한다. 대부분의 노력은 PC 시장에 집중되어 모바일 장치는 부족한 상황이다.[12]4. 2. DNS 필터링
DNS는 봇넷이 드론을 제어하는 계층이다.[13] 2006년, OpenDNS는 사용자가 웹사이트 스푸핑 사이트에 접속하는 것을 막기 위해 무료 서비스를 시작했다.[13] OpenDNS는 다양한 안티 피싱 및 안티 봇넷 조직과 자체 데이터를 수집하여 웹사이트 스푸핑 범죄자 목록을 만들었다.[13] 사용자가 이러한 악성 웹사이트에 접속하려고 하면 DNS 수준에서 차단된다.[13] APWG 통계에 따르면 대부분의 피싱 공격은 도메인 이름이 아닌 URL을 사용하므로 OpenDNS가 추적할 수 없는 상당한 양의 웹사이트 스푸핑이 발생한다.[13] 출시 당시 OpenDNS는 야후, 구글 등에 있는 익명의 피싱 공격을 막을 수 없었다.[13]4. 3. 사용자 교육
4. 4. 법적, 제도적 대응
5. 한국의 특수한 상황
5. 1. 정치권 대상 공격
5. 2. 사회적 혼란 야기
5. 3. 사이버 안보 강화 필요성
참조
[1]
뉴스
Spoof website will stay online
http://news.bbc.co.u[...]
BBC News
2004-07-29
[2]
웹사이트
Web Spoofing: An Internet Con Game
http://sip.cs.prince[...]
2023-05-05
[3]
간행물
Anti-Phishing Technology
http://www.sfbay-inf[...]
2005-01-19
[4]
웹사이트
That apple.com link you clicked on? Yeah, it's actually Russian
https://www.theregis[...]
2020-10-10
[5]
웹사이트
Google is fixing a Chrome flaw that makes phishing easy
https://www.engadget[...]
2017-04-17
[6]
웹사이트
HMRC phishing and scams: detailed information
http://www.hmrc.gov.[...]
2023-11-01
[7]
웹사이트
Scam calls
https://www.lloydsba[...]
2023-11-01
[8]
뉴스
Fake Sites Insist Microsoft Bought Firefox
http://www.informati[...]
InformationWeek
2006-11-09
[9]
웹사이트
Mattel Denies Claim That All Barbies Will Be Compostable
https://futurism.com[...]
2023-08-03
[10]
뉴스
A new "EcoWarrior" Barbie, supposedly from Mattel, drew headlines. It was a hoax. - CBS News
https://www.cbsnews.[...]
2023-08-02
[11]
뉴스
Barbie Hoax Targets Mattel and Fools Some News Outlets
https://www.nytimes.[...]
[12]
간행물
Phishing environments, techniques, and countermeasures: A survey
2017-07
[13]
웹사이트
Dark Reading {{!}} Security {{!}} Protect The Business - Enable Access
https://archive.toda[...]
2018-06-29
[14]
뉴스
Spoof website will stay online
http://news.bbc.co.u[...]
BBC News
2004-07-29
[15]
문서
http://www.cs.prince[...]
[16]
간행물
Anti-Phishing Technology
http://www.sfbay-inf[...]
2005-01-19
본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.
문의하기 : help@durumis.com