검사 대상이 아니라면? 공격 자원!

최상위 도메인 중 하나인 .arpa가 피싱 공격에 활용되는 사례가 늘어나고 있다는 조사 결과가 나왔다. 보안 기업 인포블록스(Infoblox)가 발표한 것으로, “.arpa는 일반 도메인과 다르기 때문에 이 현상에 주목해야 한다”는 경고의 메시지가 담겨 있다.

.arpa?

‘도메인’이라고 하면 제일 먼저 떠오르는 게 .com, .net, .org 등이다. 이런 도메인들을 ‘공개 도메인’이라고 한다. 웹사이트 운영을 위해 존재한다. 즉 누구나 .com 등으로 끝나는 도메인에 접속해 주인장이 업로드 해 둔 콘텐츠를 볼 수 있으며, 그게 딱히 이상한 일이 아니라는 의미다. 하지만 .arpa는 전혀 그렇지 않다. ‘인프라 전용 도메인’이기 때문이다. ‘역방향 DNS’와 같은 네트워크 기능을 수행하는 데 활용된다.

역방향 DNS는 정방향 DNS의 반대 개념이다. 정방향 DNS는 도메인 이름이 IP 주소로 변환되는 것을 말한다. google.com이라는 도메인 이름을 입력하면 142.250.190.78과 같은 숫자로 바뀌어 그 다음에 일어날 일들이 벌어지는 게 ‘정석’이라는 것이다. 역방향은 그 반대다. 142.250.190.78을 먼저 입력하면, 그것이 google.com이라는 도메인 이름으로 바뀌는 게 역방향 DNS다.

역방향 DNS라는 게 도대체 왜 존재할까? 이메일 서버의 신뢰성을 검증해 스팸을 차단할 때, 서버 인증 결과를 확인할 때, 네트워크 로그를 분석할 때, 보안 모니터링이 필요할 때 등 ‘이 IP 주소가 진짜 그 도메인과 연결되는 거 맞아?’를 점검해야 하는 경우가 있기 때문이다. 이런 검사 기능을 수행하기 위한 공간이 따로 필요한데, 그걸 충족해주는 게 .arpa다. .com처럼 누구나에게 친절히 열려 있는 공간이 아니라, 기술적 용도로 마련돼 아무에게나 열려 있지 않은 ‘비교적 불친절한’ 공간이라고 할 수 있다.

그러므로 일반 사용자 눈에 보일 필요가 없다. 그렇지만 인터넷이 정상 작동하게 만드는 각종 기술 검사가 시행되므로 반드시 존재해야 한다. 눈에 띄지 않게 작동하여 모두의 기본적 안전을 보장해주는 ‘기초 필수 인프라’인 것이다.

‘눈에 띌 필요가 없다’의 함정

은밀히 폐쇄돼 있다는 .arpa라는 공간의 특성 때문에 보안은 이 공간을 특별히 신경 쓰지 않는다. 보안 점검이 행해지는 공간인데, 그 공간 자체를 검사한다는 건 쉽게 생각할 수 없다. 마치 내 음주 여부와 신분증을 검사하려는 경찰의 신원을 내가 역으로 검사할 생각을 쉽게 할 수 없는 것과 비슷하다. .arpa까지 점검할 자원이 된다면 차라리 역사적으로 수상한 용도로 빈번하게 사용된 .xyz나 .top과 같은 도메인을 한 번 더 살피는 게 효율적이기도 하다.

이 지점을 해커들이 정확히 간파했다. 이 ‘당연히 신뢰 받는 공간’, 그래서 ‘검사 대상이 아닌 공간’을 공격자들은 피싱 콘텐츠 전달 통로로 활용한 것이다. 어떻게 했을까? 인포블록스의 설명에 따르면 제일 먼저 공격자들이 한 일은 “IPv6 터널 서비스를 활용해 엄청난 양의 IPv6 주소를 확보”한 것이었다. “IPv6는 주소 수가 무한대에 가깝습니다. 그래서 대량 확보가 비교적 쉬운 편입니다.”

IP 주소를 받으면 해당 IP 주소에 대한 역방향 DNS 영역을 설정할 권한도 같이 부여 받는다(아닌 경우도 있다). “IPv6 주소를 대량으로 확보한 공격자는 ip6.arpa 하위의 특정 구간을 자신이 원하는 용도로 설정할 수 있게 된 것”이라고 인포블록스는 설명한다. “그래서 그 공간에 공격자들은 장상 도메인이 아니라 피싱 도메인을 삽입했습니다. 공격용 하위 도메인과 우회 접속용 주소들도 같이 우겨 넣었고요.”

.arpa 안에 있는 피싱 도메인

자, 그러면 여기까지 진행한 공격자는 대량의 .arpa 공간을 가지고 있고, 그 공간 안에 피싱 콘텐츠를 넣어둔 상태다. 저 위에서 “보안은 .arpa를 신뢰하며, 그래서 검사하지 않는다”고 설명했다. “주요 감시 대상도 아니며, 신규 도메인인데도 탐지 대상에 오르지 않고, 평판 점수화에도 걸리지 않습니다. 여기에 있는 피싱 콘텐츠들은 ‘프리패스’를 가지고 있는 것과 다름이 없게 됩니다.”

이랬을 때 피해자 입장에서는 무슨 일이 일어날까? “피싱 이메일을 받고, 피싱 링크나 이미지를 클릭하는 것까지는 기존 피싱 공격과 똑같습니다. 그런데 요즘 피싱 공격은 링크를 클릭한다고 해서 곧바로 최종 피싱 페이지에 연결되도록 하지 않죠. 굉장히 많은 사이트와 페이지를 경로하고 우회해서 최종 목적지에 도착하게 합니다. 이런 일이 일어날 때 피싱 탐지 기술들이 발동되면 그 중간의 수많은 사이트 중 수상한 걸 찾아내 사용자에게 경고할 수 있고, 따라서 최종 피싱 페이지에 도달하지 못하게 할 수 있습니다. 그런데 그 중간이 .arpa이면? 검사에 걸릴 확률이 낮아지고 따라서 최종 페이지에 피해자가 도착할 확률도 높아지죠.”

.arpa를 피싱 경로로서 활용한다고 해서 무조건 피싱 공격이 성공하는 건 아니라고 인포블록스는 강조한다. “탐지 회피 가능성이 조금 더 높일 뿐입니다. 공격자들이 빈틈을 잘 파고든 건 분명하지만, 그것 자체로 성공률 100%를 성취하지는 못했다는 겁니다. 그런데 그 지점에서 공격자들의 치밀함이 드러납니다. .arpa를 사용한 것 하나에 만족하지 않고, 더 많은 기법들을 결합했기 때문입니다. 자신들이 찾아낸 획기적일 수 있는 아이디어를 가지고 실질적인 성과를 내기 위해 더 깊이 연구하고 고민했다는 겁니다.”

인포블록스에 의하면 공격자들은 다음과 같은 기법들을 병용했다고 한다.
1) 트래픽 분산 시스템 : 피해자의 장비나 IP 주소 등을 검사해 보안 연구원의 가능성이 높을 경우 무해 페이지로 보내고, 일반 사용자로 보일 경우 피싱 페이지로 보낸다. 이렇게 함으로써 추적과 분석 가능성을 낮춘다.

2) 도메인 섀도잉 : 정상 기업의 정상 도메인 아래에 하위 도메인을 몰래 생성한다. 브랜드 신뢰도를 악용하려는 것으로 피해자가 도메인을 눈으로 확인한다 해도 속을 가능성이 높아진다.

3) 만료 도메인 탈취 : 과거에 정상 기업 및 기관이 쓰던 도메인 중 만료된 것을 공격자가 찾아내 재등록한다. 이런 도메인들은 평판이 좋은 경우가 많기 때문에 보안 검사를 무사히 통과할 가능성이 높다.

4) CNAME 체인 : 외부 서비스 연결용 CNAME 중 정상 기업/기관들이 과거에 사용했다가 방치한 것들이 있다. 공격자가 이를 파악한 후 해당 외부 서비스를 등록하는 데 성공한다면 사실상 그 서비스에 연결된 하위 도메인을 공격자가 탈취할 수 있게 된다. 정상 도메인 신뢰도를 공격에 악용할 수 있게 되는 것이다.🆃🆃🅔

by 문가용 기자(anotherphase@thetechedge.ai)

Related Materials

• Abusing .arpa: The TLD That Isn't Supposed to Host Anything - Infoblox Threat Intel 블로그 , 2026년 인포블록스 리서치 팀이 IPv6 터널링과 역DNS 위임을 악용해 .arpa 네임스페이스 상에서 피싱 콘텐츠를 호스팅하는 기법을 분석한 기술 보고서이지만, 공격 체인과 방어 관점에서 .arpa 피싱 경로 악용 전반을 이해하는 핵심 자료로 활용 가능
• Phishing Schemes Abuse .arpa TLD and IPv6 Tunnels to Evade Detection - Cryptika , 2026년 인포블록스 연구 내용을 기반으로 .arpa TLD와 IPv6 터널을 결합해 브랜드 사칭 피싱 사이트를 호스팅하고 평판 기반 필터를 우회하는 공격 시나리오 및 IoC 를 정리한 보안 기업 분석 기사
• Hackers Abuse .arpa Top-Level Domain to Host Phishing Scams - HackRead , 2026년 인포블록스의 발표를 정리하며 공격자가 Hurricane Electric, Cloudflare 등의 인프라를 활용해 .arpa 역DNS 도메인에 A/AAAA 레코드를 생성하고 피싱 페이지를 운영하는 방법을 설명한 뉴스 기사
• Phishing gangs weaponise .arpa DNS to evade defences - IT Brief Asia , 2026년 .arpa DNS 공간과 IPv6 터널을 악용해 스팸-기반 브랜드 사칭 피싱을 전개하고 전통적인 도메인‧URL 기반 보안 통제를 우회하는 사례와 방어 권고를 다룬 보안 매체 기사

피싱, 너무 교묘해 보안 교육의 효과까지 낮춰

💡Editor’s Pick - 요즘 피싱 메일은 오타나 문법 오류로 식별 불가능 - 크롬 업데이트, 줌 초대장, 팀즈 업데이트 등 각종 기법 활용 - 너무 교묘해 교육 효과를 크게 기대하기도 힘들어 피싱 캠페인의 교묘함이 상상을 초월한다. 보안 업체 레드카나리(Red Canary)와 지스케일러(Zscaler)가 최근 발견한 캠페인은 피해자를 속이기 위한

더테크엣지(The Tech Edge)문가용 기자

전화번호는 신뢰 가능한 수단인가?

💡Editor Pick - 우리의 본인인증 수단인 전화번호 기반의 인증은 안전한가? - 해외의 경우 그 방향성을 어떻게 수립하고 있는가? 캐나다 정부가 5년 동안 추적한 SIM 보안의 구조적 의미 2026년, 캐나다 사이버 보안 센터(Cyber Centre)가 발표한 “Security considerations for SIMs (ITSAP.10.021)”는 표면적으로 SIM 스와핑 대응을 위한 기술

더테크엣지(The Tech Edge)Donghwi Shin