스페인의 국가 도메인(.es)을 악용한 피싱 공격이 최근 급증하고 있다는 보고서가 공개됐다. 글로벌 보안 기업 코펜스(Cofense)는 스페인 도메인이 해커들의 새로운 도구로 부상하면서, 기존 상위 도메인(.com, .ru)에 이어 전 세계에서 세 번째로 피싱에 가장 많이 악용되는 도메인으로 떠올랐다고 분석했다.
이번 조사는 코펜스 인텔리전스 팀의 맥스 개넌과 제이콥 말림반이 공동으로 진행했으며, 2024년 4분기부터 2025년 1분기까지 .es 도메인을 활용한 피싱 캠페인이 무려 19배 급증한 것으로 나타났다. 특히 이 도메인은 스페인어 사용자를 대상으로 설계된 것이지만, 실제로는 사용자에게 믿음을 심어주기 위한 수단으로 무차별적으로 이용되고 있었다.
보고서에 따르면, 해커들은 이메일 내 링크를 클릭하도록 유도한 뒤, 사용자를 피싱 목적의 2차 페이지로 유도하는 데 .es 도메인을 활용하고 있다. 해당 페이지들은 종종 사용자 계정 정보를 탈취하거나, XWorm·다크 크리스털 RAT(Remote Access Trojan) 같은 원격 액세스 악성 코드를 배포하는 데 쓰인다.
피싱 공격에 활용된 도메인이 다소 이질적으로 느껴질 수 있으나, 이들이 모방하는 기업은 익숙하다. 이번 조사에서 .es 도메인을 활용한 피싱 사례 중 무려 95%가 마이크로소프트(MSFT)의 서비스, 특히 아웃룩(Outlook)을 사칭하고 있었다. 그 외 어도비(ADBE), 구글(GOOGL), 도큐사인(DOCU) 등도 악용되고 있었지만, 모방 비율은 현저히 낮았다.
흥미로운 점은 이들 피싱 도메인의 약 99%가 클라우드플레어(Cloudflare)의 인프라를 이용하고 있다는 것이다. 특히 'Cloudflare Turnstile'이라는 CAPTCHA도 동원돼 피싱 사이트의 정당성을 교묘하게 부각하고 있었다. 연구진은 클라우드플레어 페이지를 포함한 최신 배포 도구가 피싱 운영자들이 대규모로 콘텐츠를 손쉽게 구축할 수 있도록 하고 있는 점에 주목하며, 클라우드플레어의 콘텐츠 검열 수준이 낮은 것이 영향을 미쳤을 가능성도 제기했다.
또한 해커들은 사람이 읽기 힘든 무작위 문자열 기반 서브도메인을 다수 만들어 탐지를 우회하고 있었다. 'gymi8.fwpzza.es' 같은 도메인 예시는 그 대표적인 사례다. 기업 관점에서 이러한 동적 도메인의 증가는 기존 접근 방식만으로는 피싱 탐지가 더 어려워졌음을 의미한다.
코펜스는 보고서 말미에서 보안 담당자들에게 .es 도메인과 같은 국가 도메인의 악용 양상을 면밀히 관찰하고, 서브도메인 기반 탐지 로직을 강화해야 한다고 경고했다. 피싱 전술이 정교해질수록 도메인 남용은 가장 초기 징후로 꼽히며, 이를 간과할 경우 전사적 보안에 심각한 위협으로 이어질 수 있다고 강조했다.