GitHub 아스날: 사이버 범죄 퇴치를 위한 오픈소스 도구
끊임없이 변화하는 사이버 위협 환경 속에서, GitHub의 오픈소스 도구는 강력한 방어 수단을 제공합니다.
사이버 범죄와의 싸움은 전 세계적인 노력이며, 오픈소스 커뮤니티는 여기서 결정적인 역할을 담당하고 있습니다. 세계 최고의 소프트웨어 개발 플랫폼인 GitHub는 널리 퍼진 피싱 위협을 비롯한 다양한 사이버 위협을 탐지, 분석 및 대응하기 위해 고안된 방대한 도구들을 제공하고 있습니다.
사이버 보안 분야에서 오픈 소스의 힘
오픈소스 프로젝트는 타의 추종을 불허하는 투명성을 제공하여, 전 세계의 보안 연구원과 개발자들이 코드를 면밀히 검토하고, 취약점을 파악하며, 개선에 기여할 수 있게 합니다. 이러한 협업 모델은 신속한 혁신을 촉진하고, 정교한 사이버 공격에 대항할 수 있는 견고하며 커뮤니티의 검증을 거친 해결책을 만들어 냅니다.
피싱 대응을 위한 주요 자료
일반적인 사이버 보안 도구 외에도, 피싱 시도를 직접 차단하는 데 있어 몇 가지 전문적인 리소스가 매우 유용합니다. 이러한 도구에는 실시간 위협 피드부터 URL 분석 서비스, 커뮤니티 기반 차단 목록에 이르기까지 다양한 것이 포함됩니다:
- TweetFeed.live: 사이버 위협 정보에 대한 실시간 피드를 제공하며, 여기에는 소셜 미디어에서 공유되는 피싱 캠페인에 대한 조기 경보가 포함되는 경우가 많습니다.
- Phish.Report: 피싱 사이트를 신고할 수 있는 플랫폼으로, 악성 URL을 차단하는 데 도움이 되는 공동 데이터베이스 구축에 기여합니다.
- URLQuery.net: 의심스러운 URL을 분석해 주는 무료 서비스를 제공하며, 해당 URL의 동작 및 잠재적 위협에 대한 상세한 보고서를 제공합니다.
- ThreatView.io의 실험적 IOC 트윗: 트윗에서 추출한 침해 지표(IOC)의 원시 데이터 피드로, 자동화된 위협 탐지 시스템에 유용합니다.
- Polkadot-JS 피싱 저장소: 폴카닷 생태계를 표적으로 한 피싱 시도를 추적하고 탐지하기 위해 마련된 GitHub 저장소입니다.
- URLAbuse.com 공개 데이터: 신고된 악성 URL의 공개 목록을 제공하며, 이를 차단 목록을 업데이트하는 데 활용할 수 있습니다.
- MetaMask/이더리움 피싱 탐지: 이더리움 관련 피싱 시도를 탐지하고 방지하기 위한 MetaMask의 오픈소스 프로젝트입니다.
- Phishing.Army 차단 목록: Phishing.Army 커뮤니티에서 관리하며, 알려진 피싱 URL을 수록한 정기적으로 업데이트되는 차단 목록입니다.
- VirusTotal URL 분석: 의심스러운 파일과 URL을 분석하여 여러 안티바이러스 엔진과 블랙리스트 서비스에서 얻은 정보를 제공하는, 널리 사용되는 서비스입니다.
- 피쉬 가드 블루: 사용자가 피싱 링크를 식별하고 피할 수 있도록 돕기 위해 설계된 웹 애플리케이션입니다.
- 넷크래프트 피싱 보고서: 넷크래프트의 피싱 사이트 신고 플랫폼으로, 포괄적인 피싱 방지 활동에 기여하고 있습니다.
- Seal 피싱 봇 (텔레그램): 사용자가 링크를 통해 피싱 여부를 확인하고 의심스러운 활동을 신고할 수 있도록 도와주는 텔레그램 봇입니다.
- URLScan.io: 웹사이트를 스캔하고 분석하여 콘텐츠, 기술, 잠재적인 악성 활동에 대한 상세한 보고서를 제공하는 무료 서비스입니다.
"PhishDestroy는 사이버 보안 분야에서 협업과 투명성의 힘을 굳게 믿습니다. 저희의 모든 노력은 오픈소스 정신과 부합하는 원칙을 바탕으로 이루어집니다."
OSINT 조사관용 툴킷
차단 목록만으로는 부족하며, 진정한 조사를 위해서는 더 심층적인 모니터링 체계가 필요합니다. 다음의 오픈소스 도구들은 모든 피싱 차단 워크플로우의 중추를 이루며, 각각 무료로 사용할 수 있고 스크립트 작성이 가능하며 커뮤니티를 통해 실전에서 검증된 도구들입니다:
- urlscan.io — 샌드박스 환경에서의 URL 분석: 전체 DOM 스냅샷, 스크린샷, 네트워크 호출, 인증서 세부 정보. 사이트 차단 전 증거 보존에 필수적입니다.
- VirusTotal — URL, 파일, IP, 해시에 대한 다중 엔진 기반 평판 조회 기능입니다. 이곳에 피싱 URL을 제출하면 수십 개의 안티바이러스(AV)/엔드포인트 보안(EDR) 업체에 탐지 정보가 전달됩니다.
- 초단 — 사물인터넷(IoT) 및 노출된 서비스 검색 엔진. 사기꾼의 인프라를 파악하고, 호스팅 클러스터를 식별하며, 패널을 찾아내는 데 사용됩니다.
- Censys — 인증서 투명성 및 배너 검색; 하나의 TLS 인증서에서 관련 도메인 100개로 범위를 확장하는 작업은 이곳에서는 일상적인 일입니다.
- crt.sh — 무료 인증서 투명성(Certificate Transparency) 로그 검색 기능으로, 보호 대상 브랜드를 표방하는 새로 발급된 유사 인증서를 적발하는 데 안성맞춤입니다.
- 웨이백 머신 — 원본 사이트가 사라진 후에도 남아 있는 스냅샷을 보존합니다.
- WHOIS & ViewDNS.info — 등록자 조회, 역 IP 조회 및 DNS 피보팅.
- Maltego CE — 그래프 기반 링크 분석; 이메일, 도메인, IP, 소셜 미디어 노드를 아우르는 사기꾼 네트워크를 시각화하는 데 이상적입니다.
- theHarvester — 공개된 출처에서 이메일 주소, 하위 도메인, 호스트, 직원 이름을 수집합니다.
- Kali Linux — 수백 가지의 OSINT 및 보안 도구가 미리 설치된 배포판.
브라우저 측 방어 수단
대부분의 피싱 피해자는 클릭하는 순간 속아 넘어갑니다. 브라우저 계층의 방어 체계는 공격이 지갑에 도달하기도 전에 이를 차단합니다:
- MetaMask 이더리움 피싱 탐지 — MetaMask 및 여러 Web3 지갑에 기본으로 포함된 도메인 차단 목록으로, 알려진 피싱 페이지가 로드되기 전에 차단합니다.
- PhishDestroy 삭제 목록 — 13만 개 이상의 엄선된 활성 사기 및 피싱 도메인을 다양한 형식(DNS, 호스트, JSON, CSV)으로 제공하며, Pi-hole, AdGuard, 브라우저 확장 프로그램 또는 기업용 방화벽과의 연동이 가능합니다.
- PhishFort 목록 — 커뮤니티에서 관리하는 암호화폐 피싱 차단 목록.
- uBlock Origin + 프라이버시 배저 — 광고와 추적기를 걸러내어, 악성 광고 전달 경로에 노출되는 것을 획기적으로 줄입니다.
- ScamSniffer — 웹3 사기 데이터베이스 확장 프로그램으로, 페이지 내에서 드레이너 계약의 위험성을 알려줍니다.
위협 정보 피드
SOC, CERT 또는 보안 스택을 운영 중이라면, 활성 피싱 인프라에 대한 다음 공개 피드를 수집하십시오:
- 파기 목록 — 자동 업데이트, 13만 개 이상의 위협 요소, 무료 API, 다양한 형식.
- OpenPhish — 일반 텍스트 형식의 커뮤니티 피싱 정보 피드.
- PhishTank — 확인된 피싱 URL (Cisco/OpenDNS).
- URLhaus (abuse.ch) — 악성코드 유포 URL.
- 트윗피드 — 정보 보안 관련 소셜 미디어에서 수집한 IOC들.
- ScamSniffer 사기 데이터베이스 — Web3 차단 목록.
YARA, 허니팟 및 능동 방어
- 피싱킷-야라-규칙 — HTML/JS에서 알려진 피싱 키트 지문을 탐지합니다.
- 야라 규칙 — 커뮤니티에서 관리하는 규칙 라이브러리.
- 허니팟 & 카나리아 토큰 — canarytokens.org, 메이즈러너 CE.
- 작전명: 테이크다운 — 피싱 캠페인을 적극적으로 저지하기 위해 저희가 직접 수집한 스크립트 모음입니다.
워크플로우 — 제보부터 단속까지
일반적인 조사 과정에서는 이러한 도구들을 다음과 같이 연쇄적으로 활용합니다:
- 잠재 고객 확보 — 커뮤니티 보고서 (텔레그램 봇), 유료 광고 파서 탐지, 또는 CT-log 경고.
- 피싱 확인 — urlscan.io를 통한 샌드박스 분석; VirusTotal, OpenPhish, PhishTank을 통해 교차 확인.
- 지도 인프라 — Censys/Shodan을 통해 관련 도메인, IP 주소, 인증서를 찾아보세요.
- 증거 보존 — Wayback 스냅샷, urlscan 아카이브, 전체 HTML/JS 캡처, 스크린샷.
- 파트너에게 알리기 — 50개 이상의 안티바이러스 업체에 제출하고, 등록기관/호스팅 업체에 악용 신고를 접수하며, MetaMask 및 ScamSniffer 피드에 정보를 배포합니다.
- 모니터 — 차단 사실을 확인하고, 인접한 IP 주소나 새로 등록된 유사 도메인을 통해 다시 등장하는지 주시하십시오.
더 보기:테이크다운의 해부 · 사기를 조장하는 등록기관들 · 암호화폐 보안 가이드
이러한 오픈소스 도구를 활용함으로써 개인, 중소기업, 대기업 모두 사이버 보안 태세를 크게 강화할 수 있습니다. 오픈소스 커뮤니티 내의 집단 지성과 지속적인 개발은 사이버 범죄와의 끊임없는 싸움에서 그 무엇과도 바꿀 수 없는 귀중한 자산입니다. 항상 경계를 늦추지 말고 최신 정보를 파악하며, 오픈소스의 힘을 활용하여 자신과 지역사회를 보호하십시오.
