Security

19만개 악성 도메인 동원해 공격하는 스미싱트라이어드

문가용 기자

Published: 16:44, 27 Oct 2025 (Updated: 10:39, 25 Nov 2025)

💡

Editor's Pick
- 악성 도메인 계속 생성하고 바꾸고
- 그래서 탐지 어렵고, 공격은 효과적이고
- 미국에 대부분 호스팅 돼...통행료 독촉장 사칭한 공격 많아

전 세계 곳곳에 19만개가 넘는 악성 도메인을 운영하던 공격 단체의 꼬리가 잡혔다. 스미싱트라이어드(Smashing Triad)라고 불리는 이 그룹은 홍콩의 도메인 등록기관을 통해 악성 도메인을 등록하고, 중국의 네임서버를 이용했으며, 미국의 대형 클라우드 서비스를 통해 공격 인프라를 호스팅함으로써 대형 ‘공격 망’을 갖출 수 있게 됐다고 보안 기업 팔로알토네트웍스(Palo Alto Networks)가 공개했다.

스미싱트라이어드는 2024년 1월 1일 이후에만 이와 같은 규모의 악성 도메인을 운영한 것으로 분석되고 있다. 이들은 중국에 근거지를 두고 있는 해킹 그룹으로 이전부터 알려져 있었다. 가짜 통행료 위반 고지서나 오배송 알림 문자 등으로 피해자들을 속여 민감 정보를 빼내는 수법을 주로 활용해 왔었다. 이렇게만 보면 별거 아닌 것처럼 보이지만, 3년 동안 10억 달러 이상의 수익을 낸 수법이라고 한다.

스미싱트라이어드?

원래 스미싱트라이어드는 피싱 키트를 판매하던 자들이었다. 주로 은행용 크리덴셜이나 1회용 비밀번호를 가로채는 데 특화돼 있는 키트를 유통시켰다. 꽤나 인기가 높아, 2025년 2분기에는 이런 키트들을 활용한 공격이 전년 동기간 대비 5배 증가했다는 조사 결과도 있을 정도다. 금융 산업에 꽤나 큰 타격을 줄 수 있는 것들이 이들로부터 나왔다고 할 수 있다.

하지만 스미싱트라이어드는 여기서 만족하지 않았다. 피싱 키트 판매로 만든 인연들을 확장해 스스로 ‘사이버 범죄 커뮤니티’가 되기에 이르렀다. 스미싱트라이어드를 중심으로 여러 종류의 해킹 조직들이 만나 교류하기 시작했다. 피싱 키트를 개발하는 자, 공격에 사용될 전화번호를 판매하는 자, 데이터 브로커, 피싱 도메인 판매자, 스팸 발송자, 라이브니스 검사 관련 전문가, 차단 목록 검사 전문가 등이 모여들었다. 각자의 강점들은 이제 스미싱트라이어드 공격 인프라의 주요 기능들로서 자리를 잡고 있다고 팔로알토는 설명한다.

그렇게 많은 도메인

이들이 보유한 도메인 중 136,933개는 루트 도메인이었다. 루트 도메인이란 최상위 수준 바로 아래의 기본 도메인을 말한다. 예를 들어 mail.google.com의 루트 도메인은 google.com이고, login.bankofamerica.com의 루트 도메인은 bankofamerica.com이다. 19만개 중 13만개가 루트 도메인이라면, 상당히 많은 비율을 차지한다.

루트 도메인이 많다는 건 공격자들이 하나의 도메인을 장기간 사용하는 게 아니라, 새로운 도메인을 대량으로 등록하고 교체한다는 의미가 된다. 이는 대규모 공격을 가능하게 하며, 동시에 탐지를 어렵게 만든다. 공격자들의 공격 플로우 중 자동 도메인 생성 기능이 포함돼 있거나, 공격자가 상당한 자본력과 조직력을 갖추고 있거나, 두 개 모두라는 의미도 된다.

13만 루트 도메인 중 68%인 9만 3천개는 홍콩의 등록기관인 도미넷(Dominet(HK) Limited)에서 등록된 것으로 분석됐다. .com이 가장 많았지만 최근 .gov 도메인도 증가하는 추세라고 팔로알토는 경고한다. 약 4만개는 최대 이틀 동안만 사용됐고, 71.3%는 일주일 미만, 82.6%는 2주 미만 사용됐다. 세 달 넘게 사용된 도메인은 6%도 되지 않았다. 루트 도메인이 많은 이유 중 하나다. 이렇게 자주 바뀌는 도메인들 중 대부분이 미국 클라우드플레어(Cloudflare)에 호스팅 된 것도 참고해야 하는 점이다.

미국 주요 인프라에 호스팅 된 악성 도메인이 많아서 그런지, 미국 우정국(USPS)을 사칭한 공격이 가장 많았다고 한다. “무려 2만 8천개의 도메인이 USPS를 흉내 내 만들어졌습니다. 통행료를 내야 한다는 식의 피싱 메시지가 가장 많이 사용됐습니다.”

속지 않을 걸 속는 피해자들

여기서 흥미로운 건 미국에서 통행료를 담당하는 곳과 우체국(우정국)은 아무 관련이 없다는 것이다. 통행료를 우체국에 내거나, 우체국을 통해 보내는 사례는 없다. 그러므로 미국 우정국을 사칭해 “통행료를 내야 한다”고 메시지를 보내게 되면, 아무도 속을 사람이 없다. 하지만 이는 이론상의 이야기이고, 스미싱트라이어드가 성공적으로 캠페인을 진행한다는 건 그런 뻔한 거짓말에 속는 사람이 많다는 이야기가 된다.

여기에는 여러 가지 심리적 요인이 작용한다. 하나는 ‘통행료 지불이 지연됐다’는 메시지 내용 자체에 대한 사람들의 두려움이다. 국가에 납입해야 할 걸 내지 않았다는 사실을 알게 될 때 사람들의 마음은 조급해지는 게 일반적이다. 이 때 그 메시지를 보내는 주체가 우정국이라는 걸 간과할 수 있다.

우정국에 대한 신뢰도도 한몫한다. 일단 우정국이라는 이름이나 로고만 보이면 신뢰하기 때문에, 그 뒤에 나오는 메시지가 ‘통행료’에 관한 것이라도 의심하지 않는다. ‘통행료를 우체국에 내는 게 이상하다?’라고 생각하지 않고 ‘통행료를 우체국으로도 내는가 보다’하는 식으로, 즉 ‘내가 잘 모르는 게 있었나보다’라고 여긴다는 것이다.

문자 메시지나 피싱 메일에 속는 많은 사람들이 의외로 자신에게 온 메시지를 제대로 확인하지 않는다는 것도 알아두어야 할 내용이다. 문자나 메일을 하루에도 수십 통씩 확인해야 하는 사람이라면, 더더욱 이런 피싱 메시지를 대강 읽는다. ‘우체국이 통행료를 내라고 한다’는 게 이상하게 느껴지는 대신, ‘통행료 미납금을 내야 한다’는 핵심만 받아들인다.

미국이라는 나라가 여러 주별로 매우 상이한 정책이나 행정 구조를 가지고 있다는 것도 속임수가 통하는 이유 중 하나다. 미국 모든 주의 사정을 샅샅이 알고 있다고 자부하는 사람이 아니라면, 우체국이 통행료를 요구한다는 사실 앞에 ‘이런 주도 있나 보다’라고 생각할 수 있다.

미국, 중국, 싱가포르

스미싱트라이어드의 공격 트래픽이 가장 많이 발생하는 곳은 도메인 대부분이 호스팅이 되어 있는 미국이고, 그 다음은 중국과 싱가포르였다. 따라서 피해자들 역시 미국, 중국, 싱가포르 순으로 많을 것으로 추정된다. 위에서는 우정국만 언급됐는데, 그 외에도 은행이나 암호화폐 거래소, 경찰, 국영 기업, 각종 애플리케이션이나 숙박 서비스, 소셜미디어를 사칭한 사례들도 많았다. 즉 성공률을 높이기 위해 스미싱트라이어드는 여러 방법을 다 동원한 것이라고 할 수 있다.

스미싱트라이어드는 지금 이 순간에도 활동하고 있다. 이들의 활동은 공격에 사용될 악성 도메인 생성해 등록하고 호스팅하기와, 이미 마련된 공격 인프라를 가지고 실제 공격을 수행하기로 구성된다. 그러면서 이미 ‘생태계 그 자체’가 된 스미싱트라이어드의 규모는 확대되는 중이기도 하다. 금융권만 노리던 것이 개인정보 탈취와 판매로도 넓어지고 있고, 조금 더 있으면 확보한 인프라를 바탕으로 대여 사업을 시작할 수도 있다. 그렇게 되면 해킹 커뮤니티에는 또 다른 강력한 ‘범죄 촉진제’가 생겨나는 것이나 다름 없다.

스미싱트라이어드와 같은 자들의 공격을 막으려면 금융 업계의 사기 및 비정상 활동 탐지 기능이 강화되어야 하고, 통신사의 대량 문자 메시지 모니터링 역할이 중요하다. 사용자들이 속지 않는 것도 중요한데, 그러려면 중요한 계정에 다중인증을 적용하고, 피싱 링크를 알아보는 방법에 대한 교육을 꾸준히 받아야 한다. 하지만 이미 강력한 자본력을 바탕으로 하고 있는 범죄 조직이라, 스미싱트라이어드를 개별적으로 방어하기는 힘들 수 있다. 사법기관 차원에서의 대처가 필요하다.

by 문가용 기자(anotherphase@thetechedge.ai)