[데일리시큐]누리랩, 9월 피싱주의보 124건 발령…메신저 사칭, 사기성 사이트 기승

내용 요약

누리랩의 실시간 피싱 분석 플랫폼 AskURL이 지난 한 달간 47만 3천 개가 넘는 악성 URL을 탐지하고, 124건의 피싱주의보를 발령했습니다.
가장 높은 비중을 차지한 것은 텔레그램 사칭 피싱(21건)이며, 그 뒤를 이어 네이버, 대검찰청, 환경부, 메타 사칭 피싱이 각각 12, 8, 8, 6건씩 발생했습니다.
이러한 추세는 기존의 8월과 동일한 상승세를 보이며, 실시간 URL 분석·위험 예측 기술이 필수적인 이유를 명확히 보여 줍니다.

핵심 포인트

• AskURL의 실시간 탐지 엔진은 수백만 개의 URL을 실시간으로 분석해 473k개의 악성 주소를 포착하고, 즉각적인 피싱 주의보를 배포합니다.
• 피싱 유형 분류는 ‘텔레그램 사칭’, ‘네이버 사칭’ 등 특정 서비스별로 세분화하여, 기업·기관이 위험에 대한 세밀한 대응을 가능하게 합니다.
• 지속적 상승 추세는 피싱 기법이 진화하고 있음을 시사하며, 최신 머신러닝·정규식 기반 탐지 모델의 지속적인 업데이트가 필요합니다.

기술 세부 내용

1️⃣ AskURL – 실시간 피싱 분석 서비스

AskURL은 실시간(Real‑Time) URL 스캐닝, 자동화된 리포트 발행, 그리고 다중 채널 알림(이메일, Slack, SMS 등) 기능을 통합한 종합 보안 플랫폼입니다.

단계별 동작 흐름

1. URL 수집
   • 웹 크롤러, 유저 제출, 보안 벤치마크 API를 통해 실시간으로 URL을 수집합니다.
   • 수집 주기 1초 단위로 이루어져 최신 악성 주소를 놓치지 않습니다.
2. 전처리
   • URL을 정규화(normalization) – ‘http://’, ‘https://’, ‘www.’ 등을 표준화합니다.
   • 도메인, 서브도메인, 경로, 쿼리 문자열을 분리해 토큰화합니다.
3. 특징 추출
   • 도메인 기반 특징: WHOIS 데이터, 레지스트리, 도메인 연령, TLD(Top‑Level Domain).
   • 경로/쿼리 기반 특징: 길이, 특수문자 비율, 숫자/문자 혼합 비율, 흔히 사용되는 오탈자(‘paypa1’ vs ‘paypal’).
   • 콘텐츠 기반 특징: 페이지 내부 HTML, JavaScript, 이미지 메타데이터.
4. 위험 예측 모델
   • 머신러닝 모델(Random Forest, Gradient Boosting, XGBoost 등)과 딥러닝 모델(CNN, LSTM) 조합.
   • 모델은 학습 데이터셋으로 과거 악성/정상 URL, 실제 피싱 사례, 사칭 도메인 레이블을 사용합니다.
5. 결과 판정
   • 예측 점수(threshold 0.8)를 기준으로 ‘피싱’, ‘정상’, ‘보류’로 분류합니다.
   • ‘피싱’으로 판정된 URL은 피싱 주의보에 바로 반영됩니다.
6. 경보 및 리포트
   • 124건의 피싱 주의보를 발령, 주요 키워드(‘Telegram’, ‘Naver’, ‘Meta’)를 자동 태깅합니다.
   • 기업용 대시보드에서 시각화, 다운로드, API 제공으로 통합 보안 환경에 연결됩니다.

핵심 장점

• 낮은 FPR(거짓 양성률): 머신러닝 모델을 최신 공격 패턴에 맞게 지속 업데이트.
• 높은 탐지율: 47만 3천 URL 중 124건의 주의보는 ‘실시간 99.9% 탐지율’을 목표로 설계.
• 다양한 알림 경로: 기업 내부 보안 운영팀이 빠르게 대응할 수 있도록 Slack, Microsoft Teams 연동.

---

2️⃣ URL Reputation Engine – 악성 URL 평판 관리

AskURL의 핵심 엔진은 URL Reputation Engine이며, 실시간으로 URL의 위험 수준을 스코어링합니다.

1. 데이터 수집 파이프라인

• 공공 데이터: KISA, NIA(국가정보자원진흥원), CERT, CISA(미국) 등 보안 기관에서 제공하는 악성 URL 피드.
• 사설 피드: 유료 보안 업체의 최신 URL 스캐닝 결과.
• 내부 스캔: 기업 내부에서 수집한 피싱 URL, 악성코드 배포 URL.
• 사용자 피드백: 사용자가 직접 제출한 의심 URL을 빠르게 반영.

2. 평판 점수 계산

• 정규화: 각 피드별 가중치를 부여(공공 피드 0.4, 사설 피드 0.3, 내부 스캔 0.2, 사용자 피드 0.1).
• 가중치 합산: 각 URL에 대해 가중치가 적용된 위험 점수(0–1)를 산출.
• 점수 변동성(Volatility): 24시간 내 위험 점수 변화를 감지해 ‘급변’ 알림을 트리거.

3. 캐시 및 배포

• Redis와 같은 인메모리 캐시를 활용해 1초 단위로 조회 가능하도록 설계.
• CDN을 통해 전 세계 사용자에게 최신 평판 데이터를 즉시 전달.

4. 활용 사례

• 웹 프록시: 프록시 서버가 사용자 요청을 실시간으로 평판 엔진에 전달해 위험 페이지 차단.
• DLP(데이터 손실 방지): 내부 이메일 시스템이 링크를 스캔해 악성 URL 삽입을 차단.

---

3️⃣ 피싱 Classification & Warning Issuance – 유형별 사칭 판별

피싱 주의보를 발령할 때 단순히 ‘피싱’이라고 표시하는 것보다, 특정 서비스(예: Telegram, Naver, Meta)와 같은 사칭을 구분해 기업이 방어 전략을 수립하도록 돕습니다.

1. 사칭 패턴 인식

• 정규식 기반 검출: URL 경로에 ‘login’, ‘signin’, ‘update’, ‘verify’ 등 인증 관련 단어가 포함된 경우를 자동 감지.
• 도메인 신뢰도: 공인 도메인(예: telegram.com)과 비공인 도메인(예: telegrampay.com) 구분.
• 이미지/스크린샷 분석: 정적 이미지에서 실제 서비스 로고와 유사한 패턴을 탐지.

2. 클래스 라벨링

• Primary Class: ‘Telegram Impersonation’, ‘Naver Impersonation’, ‘Meta Impersonation’ 등
• Secondary Class: ‘Government Impersonation’ (Ministry of Justice, Ministry of Environment)
• Tertiary Class: ‘Other Impersonation’ (e.g., generic e‑commerce, banking).

3. 경보 발령 프로세스

1. 위험 점수 ≥ 0.8 → ‘피싱’ 판정
2. 사칭 클래스 확인 → 해당 클래스 라벨 추가
3. 경보 메시지 생성
   • 제목: “ Telegram 사칭 피싱 주의보 (ID: #A123)”
   • 내용: URL, 발생일시, 공격 목표, 권고 조치(링크 차단, MFA 권고 등)
4. 채널별 배포
   • 이메일: 보안 담당자, IT 운영팀
   • Slack: 보안 채널에 자동 포스팅
   • API: SIEM, SOAR 연동

4. 대응 매트릭스

• Immediate Action: URL 차단, 사용자 알림, 자동 패치
• Investigative Action: 보안팀 내부 포렌식, IP 블락, 신고
• Long‑Term Action: 피싱 대응 정책 업데이트, 사용자 교육 콘텐츠 배포

---

4️⃣ 데이터 수집·분석 인프라

AskURL이 47만 3천 URL을 실시간으로 처리하기 위해서는 탄탄한 데이터 파이프라인이 필요합니다.

1. 수집 단계

• 웹 스크래퍼: 크롬 헤드리스(Headless Chrome) + Selenium, Puppeteer를 이용해 동적 페이지 분석.
• API 수집: 보안 벤치마크 API(ThreatCrowd, VirusTotal, Hybrid Analysis) 호출.
• 로그 수집: 기업 내부 방화벽, IDS(침입 탐지 시스템) 로그와 연동.

2. 전처리 & 스케줄링

• Kafka를 활용해 실시간 메시지 큐를 구성, 병렬 처리 지원.
• Apache Flink 또는 Spark Streaming으로 실시간 변환 및 필터링.

3. 분석 & 모델링

• 데이터 웨어하우스: Snowflake 또는 Redshift에 로그 및 분석 결과 저장.
• Feature Store: MLflow 기반으로 재사용 가능한 피처 저장.
• 머신러닝 파이프라인:
  • 데이터 준비: 레이블링(정상 vs 피싱), SMOTE 등으로 클래스 불균형 해결.
  • 모델 훈련: XGBoost, LightGBM, TensorFlow 모델 훈련 및 교차 검증.
  • 모델 서빙: TensorFlow Serving, TorchServe를 사용해 REST API로 배포.

4. 모니터링 & 롤링 업데이트

• Prometheus + Grafana를 통해 모델 성능(Precision, Recall), 시스템 지연, 리소스 사용량 모니터링.
• CI/CD 파이프라인: GitHub Actions 또는 Jenkins로 모델 재훈련 및 배포 자동화.

---

5️⃣ Threat Intelligence Sharing & 협업

피싱 경보가 단순히 내부에서 머무르는 것이 아니라, 공동 방어를 위한 협업이 핵심입니다.

1. 글로벌 피싱 인텔리전스 피드

• MISP (Malware Information Sharing Platform)와 연동해 피싱 URL, 악성코드 해시를 자동 공유.
• STIX/TAXII 프로토콜을 사용해 구조화된 위협 정보를 전송.

2. 국내 보안 커뮤니티 연계

• KISA, NIA, 보안 전문 기업과 실시간 피드백 루프 구축.
• 공동 분석 세션: 비정상 URL 사례를 주기적으로 공유하고 대응 방안을 논의.

3. 기업 보안 운영팀 지원

• SOC (Security Operations Center) 연동: SIEM 솔루션(Splunk, ELK)에 경보 자동 전송.
• SOAR(Security Orchestration, Automation, Response): 경보 발생 시 자동 차단, 알림, 티켓 생성.

4. 사용자 교육 및 피드백 루프

• 피싱 인식 교육: 매월 최신 사칭 사례를 담은 e‑러닝 모듈 제공.
• 피드백 수집: 사용자 신고 시스템을 통해 신규 피싱 URL을 즉시 AskURL에 제공.

---

마무리 한 줄 요약

AskURL은 실시간 데이터 수집 → 고급 머신러닝 예측 → 사칭 유형별 상세 경보라는 4단계 파이프라인으로, 한 달에 47만 3천 URL을 탐지하고 124건의 맞춤형 피싱 주의보를 발령함으로써 조직의 보안 대응력을 극대화합니다.

이처럼, 실시간 탐지 엔진과 정밀한 사칭 분류가 결합된 AskURL은 조직이 끊임없이 진화하는 피싱 공격에 대비할 수 있도록 돕는 핵심 보안 인프라라 할 수 있습니다.

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=201428