5분 만에 48개의 피싱 도메인을 찾아냈습니다 — 여러분도 할 수 있는 방법
요약
dnstwist 오픈 소스 도구를 활용하여 Google과 Apple의 타이포스쿼팅 도메인을 탐지한 사례를 소개합니다. 5분 만에 48개의 유사 도메인을 발견했으며, 호모글리프 치환과 같은 정교한 피싱 기법의 위험성을 경고합니다.
핵심 포인트
- 타이포스쿼팅을 통한 브랜드 사칭 위험성 경고
- dnstwist 기반의 오픈 소스 탐지 워크플로우 활용
- 호모글리프(Homoglyph) 치환 방식의 높은 위험도 확인
- 브랜드 보호를 위한 선제적 유사 도메인 등록 필요성
5분 만에 48개의 피싱 도메인을 찾아냈습니다 — 여러분도 할 수 있는 방법
요약 (TL;DR): google.com과 apple.com을 대상으로 자동화된 타이포스쿼팅 (Typosquatting) 감사를 실행하여 g0ogle.com, 4pple.com, appl3.com을 포함한 48개의 활성 유사 도메인을 발견했습니다. 이 도메인들은 모두 실제 IP 주소를 호스팅하고 있으며 피싱 페이지를 제공할 준비가 되어 있었습니다. 전체 스캔에는 5분이 소요되었으며 비용은 0달러였습니다. 제가 정확히 어떻게 수행했는지, 무엇을 발견했는지, 그리고 여러분의 브랜드를 어떻게 보호할 수 있는지 소개합니다.
문제점: 여러분의 브랜드는 이미 사칭되고 있습니다
이제 막 스타트업을 시작했습니다. yourcompany.com을 등록했습니다. 이메일을 설정하고, 웹사이트를 구축하고, 사람들에게 알리기 시작했습니다.
하지만 여러분이 하지 않은 일은 yourcornpany.com, y0urcompany.com, your-companv.com 또는 사람들이 여러분에게 접속하려 할 때 합리적으로 오타를 낼 수 있는 다른 45개의 변형 도메인을 등록하는 것이었습니다.
다른 누군가가 이미 했습니다. 그리고 그 도메인들은 등록되어 활성화된 상태로, 누군가 실수로 방문하기만을 기다리고 있습니다.
저는 이 문제가 실제로 얼마나 심각한지 확인하고 싶었습니다. 그래서 지구상에서 가장 가치 있는 두 브랜드인 Google과 Apple을 감사했습니다. 만약 그들이 자신의 도메인을 완전히 보호할 수 없다면, 그 누구도 할 수 없을 것입니다.
타이포스쿼팅 (Typosquatting)이란 무엇인가?
타이포스쿼팅 (Typosquatting, URL 하이재킹이라고도 함)은 인기 있는 웹사이트의 철자를 약간 틀리게 만든 도메인 이름을 등록하는 관행입니다. 기술에는 다음과 같은 것들이 포함됩니다:
| 기술 | 예시 (google.com) | 작동 방식 |
|---|---|---|
| 문자 생략 (Character omission) | gogle.com | 글자 하나를 삭제 |
| ... |
가장 위험한 변형은 **호모글리프 치환 (Homoglyph substitution)**입니다. 이는 o를 0으로, 또는 e를 3으로 바꾸는 방식입니다. 이러한 방식은 한눈에 알아차리기가 거의 불가능합니다. g0ogle.com은 대부분의 글꼴에서 google.com과 동일하게 보입니다.
감사: 스캔 방법
저는 dnstwist 방법론을 기반으로 한 오픈 소스 타이포스쿼팅 탐지 에이전트를 사용했습니다. 워크플로우는 다음과 같습니다:
# 1단계: 도메인 변형 생성 (5가지 알고리즘)
python3 agent.py google.com
...
총 스캔 시간: 도메인당 약 3분
비용: $0 (모든 도구는 무료이며 오픈 소스임)
발견한 내용
google.com: 25개의 활성화된 유사 도메인 (Lookalike Domains)
| 도메인 | IP 주소 | 위험도 | 비고 |
|---|---|---|---|
| g0ogle.com | 172.237.146.x | 🔴 높음 (HIGH) | 호모글리프 (Homoglyph) (o→0), Google Fonts 인프라에서 호스팅됨 |
| ... | |||
핵심 발견 사항: Google은 4개의 흔한 오타(gogle, googol, googel, googlr)를 직접 등록하고 자사 IP(142.250.x.x)로 연결함으로써 보호하고 있습니다. 하지만 호모글리프 (Homoglyph) 변형은 놓쳤습니다 — g0ogle.com은 Google Fonts 인프라(172.237.x.x)에서 활발히 호스팅되고 있으며, 이는 누군가가 이를 무언가에 사용하고 있음을 시사합니다. |
등록된 유사 도메인 중 25개 중 19개가 제3자에 의해 보유되고 있습니다.
apple.com: 23개의 활성화된 유사 도메인 (Lookalike Domains)
| 도메인 | IP 주소 | 위험도 | 비고 |
|---|---|---|---|
| 4pple.com | 76.223.54.146 | 🔴 높음 (HIGH) | 호모글리프 (Homoglyph) (a→4), AWS CloudFront |
| ... | |||
핵심 발견 사항: Apple은 더 잘 대응했습니다 — 이들은 5개의 흔한 오타(aple, apole, appl, appke, appl-e)를 등록했으며, 모두 17.253.142.4(Apple의 내부 IP)를 가리키고 있습니다. 하지만 호모글리프 (Homoglyph) 도메인인 4pple.com과 appl3.com은 여전히 보호되지 않은 상태이며, 두 도메인 모두 주요 클라우드 플랫폼(AWS CloudFront 및 Google)에서 호스팅되고 있습니다. 이는 이를 등록한 이가 상당한 투자를 하고 있음을 나타냅니다. |
등록된 유사 도메인 중 23개 중 18개가 제3자에 의해 보유되고 있습니다.
정면 승부: Google vs Apple
| 지표 | Apple | 승자 | |
|---|---|---|---|
| 총 유사 도메인 수 | 25 | 23 | Apple (근소 우위) |
| ... | |||
| 두 회사 모두 완벽하게 안전한 상태는 아닙니다. 두 회사 모두 현재 피싱 페이지로 사용될 수 있는 호모글리프 (Homoglyph) 도메인을 보유하고 있습니다. |
이것이 귀하의 비즈니스에 중요한 이유
수천 명의 보안 엔지니어와 무제한의 법무 예산을 가진 Google과 Apple조차 자사의 브랜드 도메인을 완전히 보호하지 못한다면, 귀하의 스타트업에게는 어떤 가능성이 있을까요?
공격 표면 (Attack Surface)은 거대합니다:
- 5글자 도메인 이름은 약 30~50개의 순열 (Permutations)을 생성합니다.
- 7글자 도메인은 50~80개의 순열을 생성합니다.
- 10글자 도메인은 80~120개 이상의 순열을 생성합니다.
각각의 순열은 잠재적인 피싱 랜딩 페이지 (Phishing landing page), 자격 증명 수집기 (Credential harvester), 또는 악성코드 배포 지점 (Malware distribution point)이 될 수 있습니다.
스스로를 보호하는 방법 (실행 가능한 단계)
즉시 실행 (오늘 바로 하세요)
1. 직접 스캔을 실행하세요. 보안 전문가가 아니어도 괜찮습니다:
pip install dnstwist[full]
dnstwist -r yourcompany.com
이 명령은 등록된 모든 유사 도메인 (Lookalike domain)을 보여줍니다. 2~5분 정도 소요됩니다.
2. 명백한 도메인들을 등록하세요. 다음 사항을 우선순위에 두십시오:
- 단일 문자 누락 (
yourcompan.com) - 호모글리프 (Homoglyphs,
y0urcompany.com) - 흔한 글자 위치 바뀜 (
yourcopmany.com)
설령 해당 도메인들을 단순히 파킹 (Park)해 두고 메인 사이트로 리다이렉트 (Redirect)만 하더라도, 가장 큰 위험 요소들을 제거한 것입니다.
3. WHOIS 모니터링을 설정하세요. MarkMonitor 또는 DomainTools와 같은 서비스를 사용하여 귀하의 도메인과 유사한 새 도메인이 등록될 때 알림을 받으세요.
단기 계획 (이번 주 내)
4. DNS 싱크홀링 (DNS sinkholing)을 배포하세요. 내부 DNS에서 알려진 악성 유사 도메인들을 127.0.0.1로 지정하여 직원들이 해당 사이트에 접속하지 못하도록 하세요.
5. 브라우저 경고를 추가하세요. 기업용 브라우저를 관리하고 있다면, 유사 도메인들을 차단 목록 (Blocklists)에 추가하세요.
6. 팀을 교육하세요. 귀하가 찾아낸 실제 유사 도메인들을 팀원들에게 보여주세요. google.com 옆에 있는 g0ogle.com을 보는 것만큼 인식을 높이는 방법은 없습니다.
장기 계획 (지속적으로)
7. 모니터링을 자동화하세요. 주간 자동 스캔을 설정하세요 (제가 사용한 도구는 cron 스케줄링이 가능합니다).
8. 법적 삭제 조치를 취하세요. 피싱에 적극적으로 사용되는 도메인의 경우, UDRP 분쟁을 제기하거나 DMCA 삭제 요청을 진행하세요.
9. 상표 모니터링 서비스를 고려하세요. 규모가 큰 조직의 경우, MarkMonitor와 같은 서비스가 모든 TLD (Top-Level Domains)에 대해 24시간 브랜드 보호를 제공합니다.
자동화의 이점
이 기사의 모든 분석은 수동 조사가 아닌 자동화된 보안 도구에 의해 생성되었습니다. 파이프라인 (Pipeline)이 수행하는 작업은 다음과 같습니다:
도메인 (Domain) → 5가지 유형의 변형 (Permutations) 생성 → DNS 확인 (DNS resolve) →
위험 점수 (Risk score) → 보고서 생성 (Generate report) → 차단 목록 (Blocklist) 내보내기
소요 시간: 도메인당 3~5분
비용: $0
정확도: 테스트된 5가지 변형 유형의 100% 포착
이것은 과거에 전담 브랜드 보호 팀이 필요했던 종류의 분석입니다. 이제는 단 한 줄의 명령어로 가능합니다.
결론
지구상에서 가장 가치 있는 두 브랜드에 대해 48개의 활성화된 피싱 준비 도메인이 발견되었습니다. 두 회사 모두 어느 정도 보호 작업을 수행했지만, 호모글리프 도메인 (Homoglyph domains)은 여전히 사각지대로 남아 있습니다.
온라인 활동을 포함하는 비즈니스를 운영하고 있다면, 오늘 바로 이 스캔을 실행하십시오. 5분이 소요되고 비용은 들지 않으며, 파괴적인 피싱 공격으로부터 여러분을 구할 수 있습니다.
여러분의 브랜드는 이미 사칭되고 있습니다. 문제는 여러분이 그 사실을 알고 있느냐 하는 것입니다.
사용된 도구: dnstwist, Typosquatting Domain Detection Agent
데이터 최신성: 2026년 6월 6일
방법론: 5가지 변형 알고리즘 (Permutation algorithms) + DNS 확인 (DNS resolution) + 위험 점수 산정 (Risk scoring)
스캔을 원하는 도메인이 있나요? 댓글로 남겨주시면 분석을 진행하겠습니다.
AI 자동 생성 콘텐츠
본 콘텐츠는 Dev.to AI tag의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기