사이버 위협 환경은 날로 복잡해지고 있으며, 공격자의 전략은 더욱 정교해지고 있다. 특히 도메인과 DNS 인프라는 대부분의 사이버 공격에서 핵심적인 역할을 하며, 이를 통한 공격 탐지와 사전 차단이 보안 대응의 핵심 과제로 떠오르고 있다. 이러한 위협 인텔리전스 확보는 방어자가 선제적으로 대응할 수 있는 기반을 제공한다.

도메인 및 DNS 인텔리전스 분야의 선도 기업 도메인툴스(DomainTools)는 자사의 ‘도메인툴스 인베스티케이션(DomainTools Investigations)’의 첫 번째 도메인 인텔리전스 연간 검토 보고서를 발표했다.

이 보고서는 2024년에 관찰된 1억 600만 개 이상의 신규 도메인 데이터를 기반으로, 위협 행위자의 인프라 운영 패턴과 악성 도메인 사용 방식에 대한 실행 가능한 통찰력을 제공한다.

패턴 기반 위협 예측과 탐지 우선순위 제공

보고서에 따르면, 매일 평균 약 28만 9천 개의 도메인이 생성되고 있으며, 이 중 상당수가 피싱, 자격 증명 탈취, 봇넷 구성, 악성 명령제어(C2) 서버, 스팸 배포 등의 목적으로 악용되고 있다. 도메인툴스는 위험 점수 탐지 기술을 활용하여 도메인의 악성 가능성을 평가하고, 분석 우선순위를 정하는 기준을 제시하고 있다. 또한 “피싱”, “스캠”, “비트코인” 등 특정 키워드를 포함한 도메인의 출현 빈도를 분석해, 위협 탐지에 필요한 기준을 제시한다.

또한 보고서는 선거, 기술 혁신, 자연재해, 사회운동과 같은 대규모 이벤트가 도메인 등록 급증과 악용의 주요 타깃이 된다는 점을 지적한다. 위협 행위자들은 TLD(최상위 도메인)로 .lifestyle, .vana, .music 등 새로운 확장자를 활용하며 캠페인을 전개하는 사례도 다수 관찰되었다. 이러한 확장은 기존 보안 솔루션에서 탐지하기 어려운 경우가 많아 선제적 식별 체계가 요구된다.

인프라 재사용의 흔적과 보안 커뮤니티의 활용 방향

도메인툴스는 악성 도메인에서 반복적으로 사용되는 등록기관, ISP, 네임서버, SSL 발급자 등의 공통 속성을 정리하여 보안 커뮤니티가 이를 활용한 패턴 기반 대응 체계를 구축할 수 있도록 유도하고 있다.

도메인툴스는 앞으로도 이와 같은 도메인 기반 위협 인텔리전스 보고서를 정례적으로 발간하여, 보안 커뮤니티가 예측과 대응의 고도화를 실현할 수 있도록 지속적으로 지원할 방침이다. 

도메인툴스의 최고정보보안책임자(CISO)이자 조사 책임자인 다니엘 슈발베(Daniel Schwalbe)는 “공격자가 인프라를 반복적으로 사용하는 것은 방어자에게는 예측 가능한 패턴이라는 무기가 될 수 있다.”라며 “이 보고서는 단순히 작년의 위협을 기록하는 것이 아니라, 방어자들이 위협 발생 전 단계에서 사용할 수 있는 실질적 청사진이 되기를 바란다.”라고 말했다. 그는 도메인 인텔리전스를 통해 보안 전문가들이 악성 도메인을 식별하고 사전 대응함으로써, 모두에게 더 안전한 인터넷 환경을 조성할 수 있다고 강조했다.