스페인 도메인 .es를 이용한 피싱 공격 급증: 마이크로소프트 사칭 주의!

최근 사이버 보안 업계에 새로운 경고등이 켜졌습니다. 스페인 국가 도메인인 .es를 악용한 악성 캠페인이 급격하게 증가하고 있다는 소식입니다. 특히, 마이크로소프트를 사칭한 자격 증명 피싱 공격이 대부분을 차지하며, 사용자들의 각별한 주의가 요구됩니다.

.es 도메인 악용 급증: 왜 주목해야 할까요?

보안 전문가 코펜스(Cofense)의 보고에 따르면, 2024년 4분기부터 2025년 5분기 사이에 .es 도메인을 사용한 악성 캠페인이 무려 19배나 증가했습니다. 이는 .es 도메인이 .com과 .ru에 이어 세 번째로 많이 악용되는 최상위 도메인(TLD)으로 부상했다는 것을 의미합니다. 원래 .es 도메인은 스페인 또는 스페인어 사용자를 대상으로 하는 기업과 조직에 할당되지만, 공격자들은 이러한 점을 악용하여 사용자를 속이고 있습니다.

피싱 공격의 주된 수법: 마이크로소프트 사칭

연구 결과, 1월부터 5월까지 약 450개의 .es 기본 도메인에서 1,400개에 가까운 악성 서브 도메인이 발견되었습니다. 이 중 압도적인 99%가 자격 증명 피싱 공격과 관련되어 있었으며, 나머지 1%는 ConnectWise RAT, Dark Crystal, XWorm과 같은 원격 액세스 트로이 목마(RAT)를 유포하는 데 사용되었습니다. 공격자들은 주로 마이크로소프트를 사칭하여 악성 코드를 유포하거나, 가짜 이메일을 통해 사용자들의 개인 정보를 탈취합니다.

공격 벡터는 기존과 유사: 이메일과 C2 노드

.es 도메인을 악용한 사이버 공격이 증가하고 있지만, 공격 벡터 자체는 크게 변하지 않았습니다. 악성 코드는 주로 C2 노드 또는 스푸핑된 이메일을 통해 유포되며, 이메일은 인사 관련 요청이나 문서 관련 요청을 가장하는 경우가 많습니다. 공격자들이 가장 흔하게 사칭하는 브랜드는 마이크로소프트이며, Adobe, Google, Docusign, Social Security Administration 등이 그 뒤를 잇고 있습니다.

자동 생성되는 악성 서브 도메인: 식별 용이성 향상

흥미로운 점은 악성 .es 서브 도메인들이 수동으로 만들어지는 것이 아니라 무작위로 생성된다는 것입니다. 예를 들어, ag7sr[.]fjlabpkgcuo[.]es 또는 gymi8[.]fwpzza[.]es와 같은 형태입니다. 이러한 무작위성은 가짜 도메인을 식별하는 데 도움이 될 수 있습니다. 하지만 보안 전문가들은 공격을 특정 그룹과 연결할 만한 유사점을 찾지 못했으며, 악성 .es 도메인의 99%가 클라우드플레어(Cloudflare)에 호스팅되어 있다는 사실을 확인했습니다.

.es 도메인 악용 증가의 의미: 새로운 트렌드?

코펜스는 .es TLD 사용에 대한 상당한 제한이 2005년까지 시행되었음을 지적하며, 최근 .es 관련 공격 증가는 우려할 만한 원인이 될 수 있다고 밝혔습니다. 이는 국가 관련 TLD가 비공식적으로 가지는 권위를 악용하는 새로운 트렌드를 나타낼 수 있다는 분석입니다.

결론: .es 도메인 관련 이메일 주의, 보안 강화 필수

.es 도메인을 악용한 피싱 공격이 급증하고 있는 만큼, 사용자들은 의심스러운 이메일이나 웹사이트 링크를 클릭하지 않도록 각별히 주의해야 합니다. 특히, 마이크로소프트를 사칭하는 이메일은 더욱 경계해야 하며, 발신자 주소를 꼼꼼히 확인하고, 수상한 첨부 파일은 절대 열어보지 않아야 합니다. 또한, 백신 프로그램 최신 업데이트, 강력한 비밀번호 설정, 다단계 인증 활성화 등 기본적인 보안 수칙을 준수하여 사이버 공격으로부터 자신을 보호해야 합니다.