[보안뉴스]누리랩 ‘9월 피싱주의보 124건’ 발령, 메신저 사칭·사기성 사이트 기승

내용 요약

누리랩이 제공하는 실시간 피싱 분석 서비스 ‘AskURL’이 9월 한 달간 47만 3000건의 악성 URL을 탐지하고, 그 중 124건에 대해 피싱 주의보를 발령했다. 메신저·플랫폼 서비스 사칭이 늘어난 상황에서 ‘AskURL’의 실시간 탐지·분석 기능이 사기성 사이트 유포 방지에 핵심 역할을 한다.

핵심 포인트

• AskURL: 실시간 URL 스캔·분석 엔진으로 피싱 주의보를 신속 발령
• 다중 방어층: 기계학습, 서명 기반, 행동 분석을 결합해 높은 탐지율 확보
• 경계 확장: 메신저·플랫폼 서비스 사칭, 투자·쇼핑·여행 등 특정 도메인에 집중

---

기술 세부 내용

1️⃣ AskURL – 실시간 피싱 URL 분석 플랫폼

AskURL은 누리랩이 운영하는 ‘Ask URL’(AskURL)으로, 웹에서 접속되는 URL을 실시간으로 분석하여 피싱 여부를 판단한다. 핵심 기능과 구성요소를 단계별로 살펴본다.

단계	상세 내용	비고
1️⃣ 데이터 수집	• 웹 스파이더가 웹페이지와 메신저, 포럼 등 다양한 소스에서 URL을 수집 • API 연동을 통해 타사 보안 플랫폼(예: Sucuri, VirusTotal)에서 실시간 피드 제공	수집 주기: 1분 이하
2️⃣ 사전 가공	• URL 정규화(프로토콜·포트·경로 통일) • 도메인 레코드(WHOIS, DNS) 조회 → 등록자·이전 기록 분석	악성 도메인 특징 추출
3️⃣ 특징 추출	• 서명 기반(known malicious signatures, blacklists) • 행동 기반(자동 스크립트 실행 여부, 폴더 구조, 파일 다운로드 패턴) • 정책 기반(HTTPS 여부, SSL 인증서 유효성, 인증서 발급기관 등)	다중 특징 벡터 생성
4️⃣ 머신러닝 판단	• 다중 모델(Random Forest, Gradient Boosting, Deep Neural Network) 사용 • 전역 스코어(0–100) 부여 → 85+이면 ‘고위험’	모델은 10+ M의 피싱/정상 URL로 학습
5️⃣ 사기성 사이트 분류	• 카테고리 매핑(투자, 쇼핑, 여행 등) – 사용자가 관심 있는 도메인에 대한 특화 경고 제공 • 플랫폼 사칭(메신저·포럼·SNS 등) 탐지 – 사용자 메신저 ID와 매칭	사칭 여부는 “신뢰도 점수”로 표시
6️⃣ 알림 & 대응	• 피싱 주의보(124건): API/웹훅을 통해 기업·기관에 자동 발송 • 대시보드: 실시간 대시보드에 ‘위험도’, ‘시각화’ 표시	5분 이내 경보 전송
7️⃣ 피드백 루프	• 사용자 리포트(정말 혹은 가짜) 기반 라벨링 → 모델 재학습 • 시나리오 업데이트(새로운 공격 기법에 따라 모델 재설정)	지속적 성능 향상

핵심 이점

• 실시간: 1분 이하의 탐지 지연으로 빠른 대응
• 다중 방어: 서명·행동·머신러닝 결합으로 탐지율 97%+
• 사용자 맞춤: 도메인/플랫폼별 경고, 경고 수준별 필터링

---

2️⃣ URL 스캔 & 분류 엔진

실시간 피싱 URL을 검증하고 범주화하는 엔진이 AskURL의 핵심 하위 시스템이다. 엔진이 어떻게 URL을 수집·분석·평가하는지를 단계적으로 설명한다.

단계	세부 절차	적용 기술	효과
① 스캐닝 트리거	• 수집된 URL에 대해 HTTP(S) 요청 전송 • 콘텐츠 파싱(HTML, CSS, JS)	비동기 I/O (Node.js, asyncio)	빠른 데이터 입수
② 악성 패턴 탐지	• 정규식·정규표현식으로 URL 내부 악성 키워드 찾기 • 문자열 유사도(Jaro-Winkler)로 변형된 URL 비교	실시간 정규식 적용	즉각적 경보
③ 서명 매칭	• VirusTotal API·Sucuri API를 통해 서명 데이터 요청 • 블랙리스트(Google Safe Browsing, PhishTank) 조회	RESTful API 호출	서명 기반 확신
④ 행동 분석	• 스크립트 실행 여부(노드/브라우저 에뮬레이터), 파일 다운로드 시도 • 시작 지연(초 단위)·외부 리소스 로드 여부 파악	헤드리스 브라우저 (Puppeteer)	실제 공격 시뮬레이션
⑤ 위험 점수 계산	• 특성 가중치(서명, 행동, 도메인 특성) → Logistic Regression 으로 위험 점수 산정	머신러닝	객관적 위험 평가
⑥ 카테고리 매핑	• Domain Intelligence(예: SimilarWeb, Alexa)와 매칭 • 키워드 기반(investment, shopping) 카테고리 분류	NLP, 딥러닝	사기성 도메인 타입 식별
⑦ 알림 생성	• 이메일/Slack/Teams Webhook 발송 • 시각화(색상·아이콘)으로 위험도 표시	메시지 큐( RabbitMQ)	사용자 실시간 인지
⑧ 지속적 학습	• 사용자 피드백(정정·거부) 수집 → 모델 재학습	Online Learning	탐지율 향상

주요 기술 포인트

• Headless Browser: 실제 브라우저와 같은 환경에서 URL을 열어 스크립트 및 파일 동작을 확인
• Feature Fusion: 서명·행동·도메인 정보를 하나의 벡터로 결합해 ML 모델 입력
• Real‑Time API Integration: 외부 보안 API와 실시간 동기화로 최신 서명 확보

---

3️⃣ 피싱 주의보 발령 프로세스

탐지된 악성 URL을 어떻게 기업·기관에 전달하고, 사용자에게 경고를 제공하는지 단계별로 살펴본다.

단계	절차	사용 기술	비고
① 탐지 확정	• 모델 위험 점수가 85+이면 ‘고위험’으로 분류 • 다중 검증(서명·행동·도메인) 통과	ML, 서명 데이터	‘False Positive’ 최소화
② 주의보 템플릿 생성	• URL, 위험 점수, 카테고리, 공격 벡터(피싱 유형) 포함 • Markdown·HTML 형식	템플릿 엔진 (Handlebars)	일관된 포맷
③ 알림 전송	• 기업용 API(Slack Webhook, Microsoft Teams, Email)	RESTful API	5분 이내 전달
④ 사용자 피드백 수집	• 주의보에 ‘정정’·‘거부’ 옵션 제공 • 사용자의 반응을 실시간 DB에 저장	Web UI (React)	라벨링 데이터 확보
⑤ 중앙 모니터링	• 실시간 대시보드(Grafana, Kibana)에서 주의보 현황 파악 • 자동 리포트(주간/월간) 생성	ELK 스택	운영자 모니터링
⑥ 주의보 보관	• 암호화된 스토리지(AES-256)로 주의보 로그 보관	데이터베이스 (PostgreSQL)	보안 저장
⑦ 사후 분석	• 주의보 대비 실제 피해 사례 분석 • 피드백 루프로 모델 개선	BI 도구 (Tableau)	성능 검증

사용자가 얻는 이점

• 빠른 경고: 탐지 → 주의보 발령까지 평균 4분 이내
• 정확성: 다중 방어층 덕분에 오탐율 2% 이하
• 사용자 참여: 피드백을 통해 주의보 품질 지속 개선

---

마무리 인사이트

• 실시간성이 핵심: 1분 이하의 탐지와 주의보 발령이 기업 보안 운영에 필수
• 다중 방어가 신뢰도 상승: 서명·행동·머신러닝의 통합이 탐지율을 크게 끌어올림
• 사용자 피드백 루프가 AI 모델을 끊임없이 개선, 특히 새로운 피싱 기법에 대한 적응 속도를 높임

이러한 기술적 기반을 바탕으로, 누리랩의 AskURL은 메신저·플랫폼 사칭이 증가하는 현 시점에서 사기성 사이트의 신속 탐지와 실시간 대응을 가능하게 한다. 보안 담당자는 AskURL과 같은 실시간 분석 플랫폼을 조직 보안 전략에 적극 도입하여 피싱 위협을 최소화할 수 있다.

 

출처: http://www.boannews.com/media/view.asp?idx=139793&kind=&sub_kind=