스미싱 기반 DGA 탐지 기법 비교와 Gravity Falls 데이터셋 평가

초록

본 논문은 2022‑2025년 사이에 SMS 스미싱을 통해 배포된 악성 도메인을 모은 반합성 데이터셋 “Gravity Falls”를 이용해, 전통적인 문자열‑기반 탐지기(Shannon 엔트로피, Exp0se)와 최신 머신러닝 탐지기(LSTM, COSSAS DGAD)의 성능을 비교한다. 네 가지 진화된 DGA 전술(무작위 문자열, 사전 결합, 테마 기반 콤보‑스쿼팅)별로 정확도·정밀도·재현율을 측정한 결과, 무작위 문자열에 대해서는 높은 탐지율을 보였지만 사전 결합 및 콤보‑스쿼팅에서는 급격히 성능이 저하된다. 기존 탐지기들은 지속적으로 변형되는 스미싱 DGA에 대해 일관된 대응이 어려워, 컨텍스트‑인식형 접근법이 필요함을 강조한다.

상세 분석

본 연구는 모바일 환경, 특히 SMS·iMessage·Email‑to‑SMS 등 비기업 사용자에게 직접 노출되는 스미싱 공격에 초점을 맞추었다는 점에서 기존의 C2·멀웨어 중심 DGA 연구와 차별화된다. Gravity Falls 데이터셋은 4개의 연도별 클러스터(2022 Cats Cradle, 2023 Double Helix, 2024 Pandoras Box, 2025 Easy Rider)로 구성되며, 각각 무작위 문자열, 사전 단어 결합, 브랜드·키워드 기반 콤보‑스쿼팅, 정부·통행료 테마 등 서로 다른 생성 전략을 보여준다. 이러한 전술적 변화를 정량적으로 평가하기 위해 저자는 Top‑1M 도메인 리스트(Alexa, Cisco, Cloudflare, Majestic)를 베이스라인으로 사용해 정상 트래픽을 모델링하였다.

전통적인 문자열‑기반 탐지기인 Shannon 엔트로피는 도메인 문자열의 정보량을 측정해 고엔트로피(무작위) 도메인을 식별한다. 실험 결과, Cats Cradle 클러스터에서는 엔트로피 값이 명확히 구분되어 높은 정밀도와 재현율을 달성했지만, Double Helix와 이후 클러스터에서는 사전 단어가 포함되어 엔트로피가 낮아짐에 따라 탐지율이 급격히 떨어졌다. Exp0se는 엔트로피 외에도 자음 비율·길이 등을 복합적으로 판단하는 규칙 기반 탐지기로, 무작위 문자열에 대해서는 엔트로피와 유사한 성능을 보였지만, 콤보‑스쿼팅(예: “trackXYZ”)에서는 부분적인 랜덤 접미사 때문에 오탐이 늘어났다.

머신러닝 기반 탐지기인 LSTM은 도메인 문자열을 원‑핫 인코딩한 후 시퀀스 모델링을 수행한다. 학습 데이터는 Shadowserver 등 공개된 DGA 샘플이며, 사전 훈련된 모델을 그대로 적용했다. 결과는 Cats Cradle에서 비교적 높은 재현율(≈85%)을 기록했지만, Double Helix에서는 사전 결합 패턴을 학습하지 못해 재현율이 30% 이하로 급락했다. COSSAS DGAD는 Temporal Convolutional Network(TCN)를 활용해 서브스트링 수준까지 분석하지만, 동일하게 무작위 문자열에 강하고, 사전·브랜드 토큰이 섞인 도메인에 대해서는 일반화 능력이 부족했다.

전체적으로 네 가지 탐지기 모두 “전술 의존성”을 보였다. 즉, DGA가 단순히 무작위성을 높이는 것이 아니라, 사전 단어·브랜드·테마를 결합하고 짧은 랜덤 접미사를 추가하는 복합 전략을 채택하면 기존 탐지기의 특징 추출 규칙이나 학습된 패턴을 회피한다. 이는 특히 스미싱 환경에서 공격자가 사용자에게 친숙한 키워드(예: “USPS”, “DMV”)를 삽입함으로써 피싱 성공률을 높이는 동시에 탐지 회피를 달성한다는 전략적 의미를 가진다.

논문은 이러한 한계를 극복하기 위한 방향으로, (1) 도메인 메타데이터(WHOIS, DNS 히스토리, 레지스트라 정보)와 URL‑컨텍스트(리다이렉션 체인, 페이지 스냅샷)를 통합한 멀티모달 모델, (2) 지속적인 온라인 학습을 통해 최신 전술을 빠르게 반영하는 적응형 시스템, (3) 스미싱 특화 라벨링과 샘플링 전략을 도입해 훈련 데이터에 스미싱‑특화 DGA를 포함시키는 방법을 제시한다. 또한, Gravity Falls 데이터셋을 공개함으로써 향후 연구자들이 동일한 벤치마크에서 다양한 탐지 기법을 비교·재현할 수 있도록 기여한다.