서비스형 피싱(Phishing-as-a-Service, 이하 PhaaS) 플랫폼이 진화하면서 DNS 기반 보안 위협도 복잡해지고 있다. 특히 다중 인증(2FA)을 우회하는 피싱 기법이 확산되며, 조직적이고 정교한 도메인 설계 전략이 활용되고 있다. 이러한 상황에서 DNS 보안 및 필터링 기술은 더 높은 수준의 대응 능력을 요구받고 있으며, 특히 짧은 수명의 도메인과 난독화된 인프라에 대한 탐지 역량이 중요해지고 있다.

PhaaS 타이쿤 2FA의 도메인 인프라 확대

DNS 보안 전문 기업 DNS필터(DNSFilter)는 PhaaS  타이쿤 2FA(Tycoon 2FA)의 활동이 크게 확장되었으며, 특히 스페인어 최상위 도메인(.es)의 사용이 급증했다고 발표했다. 해당 플랫폼은 2023년 8월부터 운영되고 있으며, 다중 인증을 우회하기 위한 중간자 공격(AIP)에 특화된 서비스로 알려져 있다.

DNS필터는 1만1343개의 고유한 정규화된 도메인 이름(FQDN)을 분석한 결과, 4월 7일에 13개의 .es 도메인이 동시에 활성화되었고, 6월 내내 .es 도메인을 활용한 활동이 지속된 것으로 확인했다. 이는 특정 언어권 및 지역에 타깃팅된 전략적 확산을 보여주는 증거로 해석된다.

난독화 기술의 고도화 및 하위 도메인 운영 전략

타이쿤 2FA는 탐지를 피하기 위해 다양한 난독화 기술을 적용하고 있다. 기존 Base64 인코딩 방식 외에도 Base91 인코딩 및 중첩 인코딩 기법을 결합해 암호화된 블롭 내부에 데이터를 숨기는 방식을 사용하고 있다. 이러한 기술은 악성 페이로드를 탐지하는 데 어려움을 주며, 기존 보안 솔루션의 회피율을 높인다.

또한 타이쿤 2FA는 특정 대상에 맞춰 도메인 내에 하위 도메인을 운영하는 증거도 발견되었다. DNS필터는 분석 결과 전체 하위 도메인의 99.6%가 DNS 쿼리 횟수가 10회 미만이었다고 밝혔으며, 이는 일시적이고 목표 중심적인 공격임을 시사한다. 이와 같은 방식은 공격을 은닉하고 추적을 어렵게 만들어 방어자에게 새로운 도전과제를 안긴다.

루트 도메인 침해 지표와 방어 전략

DNS필터는 이번 연구에서 65개의 루트 도메인 침해 지표(Indicator of Compromise, IOC)를 확보했다. 이는 기업 보안 담당자가 더욱 정밀한 차단 전략을 수립하는 데 기초 자료로 활용될 수 있다. DNS필터는 위협 탐지를 강화하고 공격자의 체류 시간을 줄이기 위해, 전체 IOC에 대해 와일드카드 도메인 차단을 적용하고 하위 도메인 패턴 일치를 모니터링할 것을 권고했다.

DNS필터 윌 스트라파흐(Will Strafach) 보안 인텔리전스 및 솔루션 책임자는 “우리 연구는 악의적인 행위자들이 수법을 끊임없이 발전시키고 더욱 정교해지고 있다는 사실을 보여준다.”라며 “기업 보안 팀이 루트 도메인에 집중해 위협 탐지를 강화하고 체류 시간을 줄일 수 있도록 실행 가능한 인텔리전스를 제공하는 것이 목적이다.”라고 말했다.

타이쿤 2FA와 같은 서비스형 피싱 인프라의 확산은 보안 기술의 지속적인 고도화를 요구한다. 특히 기업과 기관에서 사용하는 다중 인증의 신뢰도가 흔들릴 경우, 내부 보안 프로토콜의 근간이 위협받을 수 있다. 보안 인프라의 한 축을 구성하는 DNS 기반 탐지 및 차단 기술은 이제 더 이상 선택이 아닌 필수로 자리잡고 있으며, 기업은 이를 실시간으로 분석하고 대응할 수 있는 시스템을 갖추는 것이 시급하다. DNS필터의 이번 분석은 기술 기반 위협 대응의 중요성과 함께, 인프라 설계에 대한 깊이 있는 이해가 방어 전략 수립에 필수임을 강조한다.