이원영 기자
7월 웹사이트 구축·호스팅 서비스 및 도메인 등록 서비스를 제공하는 스퀘어스페이스(Squarespace) 도메인을 대상으로 조직적인 DNS 하이재킹 공격이 발생했다. 주로 암호화폐 비즈니스를 겨냥한 이번 공격은 2023년 스퀘어스페이스 인수로 구글 도메인(Google Domains)에서 이전된 도메인과 관련이 있다고 한다.
DNS 하이재킹 공격이란 공격자가 목표로 한 DNS 레코드를 변경해 정당한 웹사이트에서 피싱 페이지 등 악성 웹사이트로 리다이렉트하는 공격이다. 보통 이런 공격은 DNS 서버 또는 목표가 가진 DNS 서비스 제공업체 계정을 침해해 실행된다.
7월 블록체인 기술을 이용한 금융 서비스를 제공하는 여러 디파이(DeFi) 플랫폼이 자사 웹사이트 도메인이 피싱 사이트로 리다이렉트되고 있다고 경고했다. 리다이렉트되는 피싱 사이트는 연결된 암호화폐 지갑에서 암호화폐와 NFT를 훔치도록 설계됐다고 한다.
디파이 플랫폼인 컴파운드랩(Compound Labs)은 7월 11일 엑스 게시물에서 메인 도메인이 탈취됐다고 보고하며 사용자에게 접속하지 말 걸 당부했다. 또 블록체인 앱 스케일링 솔루션을 제공하는 셀러네트워크(CelerNetwork)는 DNS 하이재킹 표적이 됐지만 사전에 감지해 모든 DNS 레코드를 복구했다고 보고했다.
토큰 수익률을 거래하기 위한 디파이 프로토콜인 펜들(Pendle)도 유사한 피해를 입어 주소 표시줄 확인이나 브라우저 캐시 삭제 등 대책을 촉구했다.
이번에 피해를 입은 일련의 도메인은 모두 스퀘어스페이스라는 공통 등록기관을 사용하고 있었다. 등록기관은 사용자로부터 도메인 등록 신청을 받아 등록 데이터를 레지스트리 데이터베이스에 등록하는 기관이다.
스퀘어스페이스는 원래 웹사이트 구축·호스팅 서비스를 제공하는 기업이었지만 2023년 구글 도메인 등록 서비스였던 구글도메인을 인수했다. 이로 인해 구글도메인이 호스팅하고 있던 도메인 1,000만 건이 스퀘어스페이스로 이전되게 됐다.
해킹에 대한 정확한 방법은 불분명하지만 전문가는 구글도메인에서 스퀘어스페이스로의 도메인 이전에 따른 계정 재생성 절차에 보안상 문제가 있었을 가능성이 있다고 보고 있다.
도메인이 구글도메인에서 스퀘어스페이스로 이전된 사용자는 스퀘어스페이스에서 새로운 계정을 만들 때 구글이나 애플 소셜 사인업 옵션을 사용하거나 이메일 주소를 사용하는 것 중 선택할 수 있었다. 이때 도메인과 연결된 이메일 주소를 선택해 가입하면 비밀번호 인증 없이 스퀘어스페이스 계정을 만들 수 있었다고 한다.
해커는 이 취약점을 악용해 정식 도메인 소유자보다 먼저 스퀘어스페이스 계정을 만들고 도메인을 악성 웹사이트로 리다이렉트했을 가능성이 높다고 보고 있다.
한 보안 연구원은 스퀘어스페이스에서는 일부 작업에 대한 이메일 알림이 오지 않아 정당한 도메인 소유자가 스퀘어스페이스 계정에서 무엇이 일어나고 있는지 관리할 수 없었다고 지적했다. 또 구글이 제공하는 컨트롤에 익숙하고 이를 스퀘어스페이스에도 기대하는 이들에게는 이것은 전혀 있을 수 없는 일이라고 말했다. 관련 내용은 이곳에서 확인할 수 있다.
정용환 기자
이석원 기자
