2022 CSC 도메인 보안 보고서: 글로벌 2000대 기업 4곳 중 3곳, 보안 위협 노출도 매우 높아
유사 도메인 75%가 관련 없는 제삼자에 등록돼 있으며 위협에 노출
보고서에 따르면 포브스(Forbes)가 선정한 글로벌 2000대 기업 4곳 가운데 3곳이 핵심 도메인 보안 조치를 취하지 않고 있으며, 이에 따라 상당한 보안 위협에 노출된 것으로 나타났다. 이들 회사가 행한 도메인 보안은 모든 조치의 절반에 못 미쳤다.
유사 도메인도 이런 회사를 겨냥하고 있다. 호모글리프(homoglyph·모양이 같거나 쉽게 구분하기 힘든 글자로 유사하게 표기하는 방식) 도메인의 75%가 관련 없는 제삼자에게 등록돼 있다. 세계 최대 브랜드 가운데 상당수가 자사 브랜드처럼 보이도록 등록된 악의적 도메인과 싸우고 있다는 뜻이다. 가짜 도메인을 등록하는 목적은 해당 브랜드가 쌓은 신뢰를 활용해 피싱 공격이나 기타 형태의 디지털 브랜드 남용, IP 침해를 감행하기 위한 것으로 수익 손실, 트래픽 전환, 브랜드 평판 저하를 초래한다. 호모글리프 도메인은 피싱 공격자 및 악의적 제삼자가 취할 수 있는 무수한 도메인 스푸핑(spoofing) 전술과 순열의 일부일 뿐이다.
이 밖에 CSC 연구 주요 내용은 다음과 같다.
· 137개 회사(6.8%)가 도메인 보안 점수 0점을 받았다.
도메인 보안 권장 조치를 배포하지 않을 경우 이들 회사는 도메인 및 DNS 하이재킹 공격, 네트워크 및 데이터 침해, 피싱 및 랜섬웨어 공격, 비즈니스 이메일 계정 침해(BEC)를 비롯한 다양한 공격 위험에 처하게 된다.
· 엔터프라이즈급 도메인 등록 기관을 사용하는 회사의 45%가 레지스트리 록(registry lock)을 배포한다.
레지스트리 록은 우발적이거나 승인되지 않은 수정 또는 삭제로부터 도메인 네임을 보호하는 가성비 높은 수단이다. 소비자 등급 등록 기관을 사용하는 경우 레지스트리 록을 배포한 회사는 전체 5%에 불과했다. 또 글로벌 2000대 기업 가운데 전체 도메인 점수가 최고점을 기록한 기업은 6개에 그쳤다. 이는 엔터프라이즈급 등록 기관 사용과 상관관계가 있는 것으로 나타났다.
· DMARC(도메인 기반 메시지 인증·보고·적합성)는 도메인 보안 수단 중 유일하게 올해 채택률이 크게 증가했다.
공격 양과 복잡성 증가를 포함해 피싱 공격과 관련된 모든 뉴스를 고려할 때 DMARC 채택이 12개월간 12% 포인트 늘어난 것은 놀라운 일이 아니다. 하지만 레지스트리 록, DNS 이중화, DNSSEC (DNS security extensions), CAA(인증 기관 허가) 기록과 같은 기타 도메인 보안 조치 성장은 지난해에 비해 증가세가 제한적이었다.
마크 칼란드라(Mark Calandra) CSC 디지털 브랜드 서비스 사장은 “보고서는 포브스 글로벌 2000대 기업 가운데 상당수가 어느 정도 진전을 이루긴 했지만, 여전히 기본적인 도메인 보안 조치의 완전한 구현이 간과되고 있음을 보여준다”고 지적했다. 그는 “제로 트러스트 모델을 옹호하는 기업은 사이버 위험을 방지하고 보호 태세를 유지할 때 적법한 도메인을 보호하는 동시에 악성 도메인을 모니터링하는 데 초점을 맞추는 것을 더 중요한 우선순위로 삼아야 한다”고 강조했다. 이어 “그렇지 않을 경우 사이버 보안 태세, 데이터 보호, 지적 재산, 공급망, 소비자 안전, 수익 및 평판에 영향을 미칠 수 있는 중대한 위험에 노출될 수 있다”고 경고했다.
CSC 보고서에 따르면 호모글리프 도메인을 등록하는 제삼자의 82%가 신원을 적극적으로 숨기고 있는 것으로 나타났다. 이는 소유권을 감추려는 시도이자 사악한 의도를 품고 있을 가능성을 보여준다. 또 2022년 MX 레코드를 보유한 비율은 48%로 2021년(43%)보다 증가했다. MX 레코드는 피싱 이메일을 보내거나 이메일을 가로채는 데 사용된다.
웹사이트(cscdbs.com)에서 도메인 보안에 대한 CSC의 접근 방식을 자세히 살펴볼 수 있다. 웹사이트(cscdbs.com/securityreport)에서 도메인 보안 보고서를 다운로드할 수 있다.
CSC 개요
CSC는 포브스(Forbes)가 선정한 ‘글로벌 2000대 기업’과 ‘100대 글로벌 베스트 브랜드(100 Best Global Brands®)’가 믿고 선택하는 기업으로 기업 도메인명, DNS, 디지털 인증 관리, 디지털 브랜드, 사기 및 피싱 방지 등의 서비스를 제공하고 있다. 글로벌 기업들이 보안 태세에 상당한 투자를 하는 가운데 CSC는 이들이 사이버 보안 맹점을 이해하고 온라인 디지털 자산과 브랜드를 보호하도록 도울 수 있다. 기업들은 CSC의 독점 기술을 활용해 온라인 자산과 브랜드 평판 손상을 겨냥한 사이버 위협 벡터로부터 보호할 수 있도록 보안 태세를 강화할 수 있다. 이로써 파괴적인 매출 손실을 막고 유럽 개인정보보호규정(GDPR)과 같은 정책 위반에 따른 막대한 과태료를 피할 수 있다. CSC는 온라인 브랜드 보호도 제공한다. 온라인 브랜드 모니터링과 집행 활동을 결합한 서비스로 디지털 자산 보호를 위한 총체적 접근 방식과 함께 피싱 퇴치를 위한 사기 방지 서비스를 제공한다. 1899년 설립돼 미국 델라웨어주 윌밍턴에 본사를 두고 있는 CSC는 미국, 캐나다, 유럽, 아시아 태평양 지역으로 사업을 확장했다. CSC는 고객이 있는 곳이라면 어디서든 사업을 수행할 수 있는 글로벌 기업이며 모든 사업 분야에서 전문가를 채용해 기업 목표를 달성한다.
웹사이트: cscdbs.com.
비즈니스와이어(businesswire.com) 원문 보기: https://www.businesswire.com/news/home/20221115005251/en/
[이 보도자료는 해당 기업에서 원하는 언어로 작성한 원문을 한국어로 번역한 것이다. 그러므로 번역문의 정확한 사실 확인을 위해서는 원문 대조 절차를 거쳐야 한다. 처음 작성된 원문만이 공식적인 효력을 갖는 발표로 인정되며 모든 법적 책임은 원문에 한해 유효하다.]
웹사이트: https://www.cscglobal.com/cscglobal/home...
연락처
CSC
W2 커뮤니케이션즈(W2 Communications)
스티브 보스크(Steve Bosk)
CSC@w2comm.com