멀버타이징이 끊임없이 발생하는 때다. 기법이 그리 심오하지도 않고, 대단히 고급스러운 기술이 활용되는 것도 아닌데 공격자들이 계속해서 수익을 창출하고. 사용자들은 꾸준히 피해를 입고 있다. 왜 그런 걸까? 답은 온라인 광고 산업 그 자체에 있었다.
[보안뉴스 문가용 기자] 온라인 광고 생태계에서 또 다시 대형 악성 캠페인이 발견됐다. 인기 높은 브라우저들에 탑재되어 있는 보안 기능인 ‘세이프 브라우징(Safe Browsing)’ 등을 가볍게 우회하는 캠페인인데, 단 하나의 광고 네트워크를 통해 퍼지는 중이다. 이 캠페인을 통해서 공격자는 정보 탈취형 멀웨어인 룸마(Lumma)를 퍼트리고 있으며, 허위 광고 클릭수를 생성하기도 한다. 또한 3천 개 이상의 사이트로 트래픽을 강제로 유도함으로써 수천 명의 피해자들이 금전적 손해를 보게 만들기도 한다. 보안 업체 가디오랩스(Guardio Labs)가 이에 대하여 상세히 밝혀냈다.
[이미지=gettyimagesbank]
가디오랩스는 현재 이 악성 캠페인에 디셉션애즈(DeceptionAds)라는 이름을 붙여 추적 및 분석하고 있다. 공격자들은 가짜 캡챠(CAPTCHA) 인증 페이지를 통해 사용자들을 속이는데, 실제 인증 과정을 완벽히 모방한다는 특징을 가지고 있다고 가디오랩스는 강조한다. 캡챠는 콘텐츠에 접속하고 탐색하는 주체가 봇이 아니라 사람임을 입증하기 위해 널리 사용되는 인증 방식이기 때문에 사람들에게 익숙하며, ‘귀찮아서’ 생기는 거부감이 있긴 하지만 그 자체를 악성으로 의심하는 경우는 많지 않다. 이 때문에 이 캠페인의 피해자도 적지 않은 것으로 보인다.
“공격자들은 피해자들이 웹 페이지들을 탐색하는 중에 갑자기 캡챠 페이지를 보도록 공격을 설계합니다. 피해자들은 사이트를 계속 탐색하기 위해서 캡챠 인증을 통과해본 적이 있으니 별 다른 의심없이 인증에 필요한 정보를 입력합니다. 공격자들이 마련한 캡챠는 피해자가 키보드를 통해 정보를 입력하도록 요청하며, 이는 궁극적으로 윈도 시스템 내에서 실행 대화 상자를 발동시키게 됩니다. 그러면서 사용자는 자신도 모르는 사이에 교묘히 조작된 파워셸 명령을 붙여넣게 되고, 그 결과 소셜미디어 계정과 은행 크리덴셜, 비밀번호, 개인 파일 등을 가져가는 멀웨어를 설치하게 됩니다.” 가디오랩스의 설명이다.
광고 네트워크라는 중간 상인의 존재
인터넷이 막 생겨난 초창기부터 온라인 광고는 중요한 역할을 담당했다. 우리가 빅테크라고 부르는 거대 기업들의 주요 수익원이 바로 광고이기도 하다. 2023년 구글의 매출 중 70%가 광고에서 나왔을 정도다. “하지만 광고를 노출시키는 기술이 악용되는 사례가 갈수록 늘어나고 있고, 이제 빅테크의 광고 플랫폼에 악성 활동이 상수처럼 늘 존재하고 있기도 합니다. 페이스북의 가짜 전자상거래 사이트 광고, 갑자기 소프트웨어를 설치하라는 다운로드 버튼, 구글의 악성 스폰서 검색 결과 등 그 방법도 점점 다양해지고 있습니다.”
온라인 광고라는 것은 단순히 광고 플랫폼에 이미지 파일 하나 띄워놓는 것이 전부가 아니다. 광고 하나에는 광고주와, 광고가 게재되는 공간을 소유하고 있는 퍼블리셔와, 그들 사이를 중계해주는 ‘광고 네트워크’가 얽히고 설켜 만들어진다. 이 중 광고 네트워크는 광고주와 퍼블리셔가 필요로 하는 코드를 작성하고, 분석 자료를 마련하고, 광고를 관리하는 작업을 처리한다.
“웹사이트 소유자(퍼블리셔)는 광고 네트워크에 공간을 등록합니다. 그러면 광고 네트워크에서는 그 소유자의 사이트에 통합할 코드 스니펫을 제공합니다. 이를 통해 광고 영역이라는 게 생성됩니다. 이 영역이 활성화 되면 네트워크의 트래픽 분배 시스템(TDS)으로 트래픽이 전달됩니다. 그리고 광고 캠페인의 의도와 예산 등에 따라 최적화 된 광고를 그 공간에 표시하죠. 광고주는 이를 통해 서비스나 제품을 더 많은 사람들이 구매할 수 있도록 하고, 퍼블리셔는 공간 사용료를 얻고, 중간에 있는 광고 네트워크는 수수료를 받습니다.”
이런 사업 구조에서 광고 네트워크는 큰 성공을 거두었다. “중간 광고상이라고 볼 수도 있지만 네트워크와 트래픽이라는 각도에서 보면 이 광고 네트워크는 광고주와 인터넷 사용자로 이어지는 대규모 트래픽을 배포하고 관리하도록 설계된 정교한 시스템이라고도 볼 수 있습니다. 광고가 인터넷 공간 모든 곳에 존재하죠? 그러므로 광고 네트워크 역시 인터넷 내에서 광대한 영역을 차지하고 있다고 볼 수 있습니다. 그런 상태에서 광고주가 일반 기업이 아니라 해커라면 어떨까요? 적당한 대가만 지불하면 그 해커가 인터넷 사용자들로 쉽게 접근할 수 있게 되겠죠. 실제 그런 일들이 일어나고 있고, 그것을 우리는 멀버타이징(malvertising)이라고 이미 부르고 있습니다.”
멀버타이징의 가장 흔한 형태는 구글 애즈나 페이스북 등 유명 플랫폼에 정상적으로 나타나는 ‘광고’이다. 일반 광고들과 똑같은 장소에, 똑같은 형태로 노출되니 사용자들은 크게 의심할 일이 없다. 그리고 그런 광고들을 별 다른 생각 없이 클릭한다. 이번 캠페인의 경우, 가짜 광고를 클릭하면 피해자들의 화면에 가짜 캡챠 페이지가 떴고, 이를 클릭하면 룸마가 설치됐다. 광고 네트워크를 통해 누군가 이런 광고를 기획해 등록시켰다는 뜻이다. 광고 네트워크의 존재를 누군가 악용하고 있는 것이다. 누구였을까?
“추적을 진행했을 때 문제의 광고는 단일 광고 네트워크 서비스에 기반을 두고 있다는 걸 알 수 있었습니다. 또 이 캠페인에 사용된 악성 스크립트는 단일 광고 네트워크 내 수천 개 도메인으로 연결되고 있다는 것, 그리고 동일한 매개변수를 공유하고 있다는 것도 알 수 있었습니다. DNS 핑거프린트, 서버 IP와 위치를 세부적으로 분석했을 때 이 수천 개의 도메인들이 전부 해킹 그룹인 옴나투오(Omnatuor) 혹은 베인바이퍼(Vane Viper)와 관련이 있음을 알아냈습니다. 보안 업체인 인포블록스(Infoblox)가 과거에 발견하고 추적했던 적이 있는 해킹 그룹입니다.”
진짜 문제는 산업 구조
하지만 문제의 핵심은 ‘악성 공격 단체가 멀버타이징을 자꾸만 진행한다’가 아니다. 그것에 사용자들이 자꾸만 속는다는 것도 아니었다. 온라인 광고 산업이 가진 구조 자체였다. 가디오랩스는 “멀버타이징이 점점 만연해지고 발전하는 데에는 광고 산업 내 여러 주체의 공통적인 책임이 있다”고 주장한다.
“광고 네트워크 입장에서는 광고 속에 포함된 악성 콘텐츠나 트래픽까지 다 파내서 조사할 수 없다고 말하면 그만입니다. 그런 변명을 할 수 있으니 정상적인 콘텐츠나 트래픽도 일부러 모니터링하려는 노력을 하지는 않고 있을 것으로 의심됩니다만, 그걸 입증하기가 어렵겠죠.” 가디오랩스의 설명이다.
퍼블리셔는 어떨까? “자신들은 그저 사이트에 있는 자리를 일부 내준 것뿐이라고 말하면 그만입니다. 그게 사실 맞기도 합니다. 다만 이런 광고 산업의 구조에서 퍼블리셔가 멀버타이징에 공모한다면 그걸 입증하거나 예방할 수가 없습니다. 호스팅 서비스는 악성 광고 콘텐츠가 게시되는 인프라를 제공하는 업체인데, 역시 자신들은 인프라를 제공할 뿐이지 콘텐츠에 대해 관여할 수 없다고 주장합니다. 이런 모든 주장들을 합하면 아무도 책임을 지지 않는 환경이 만들어지고, 따라서 공모가 쉬워지는, 혹은 범죄를 일부러 눈감아주고 수익을 나누는 방식의 ‘의도적 태만’이 너무나 쉬워지게 됩니다. 이게 바로 지금 광고 업계의 현실이고, 그것을 지금의 멀버타이징 캠페인이 증명하고 있습니다.”
그래서...?
온라인 광고 산업에 참여하는 광고주-광고 네트워크-광고 분석 서비스-호스팅 서비스-퍼블리셔들은 합법적으로 운영되고 있으며, 합법적인 범주 안에서 협력 체계를 이루고 있고, 합법적인 산업을 구성하고 있다. 하지만 그런 합법성들 사이로 악성 행위가 별 다른 제재 없이 끊임없이 이뤄지고 있다는 건 이상한 일이다. 그 이유를 분석하니 아무도 책임을 지지 않을 수 있도록 짜여진 광고 산업 내 구성원들 간의 체제가 발견됐고, 그 어떤 악성 행위에도 핑계를 댈 수 있는 구조가 마련되어 있음을 알 수 있었다.
“원래는 합법적인 목적으로 설계된 산업이, 악의적인 활동을 촉진시킬 수 있다는 것이 입증됐습니다. 하지만 이번에 발견된 가짜 캡챠 캠페인은 빙산의 일각일 뿐입니다. 앞으로 나타날 악성 행위들까지 생각하면 더 그렇습니다. 현대 인터넷의 중추가 되어버린 온라인 광고 생태계가 구조적인 취약점을 가지고 있다는 게 이렇게 드러나고 있으니 조치를 취해야 할 것입니다.”
하지만 산업 전체를 아우르는 조치라는 게 금방 취해지기는 어려울 것이다. 그래서 가디오랩스는 “온라인 공간에서 뭔가를 무료로 준다고 했을 때 속지 말라”고 경고한다. “대부분 악성 광고와 멀버타이징 캠페인은 무료를 키워드로 가져갑니다. 무료로 소프트웨어를 주고, 무료로 영화를 보게 해주고, 무료로 현금을 준다는 식이죠. 공짜는 존재하지 않는다는 걸 반드시 기억해야 합니다. 그러면 아무리 교묘한 멀버타이징이라 하더라도 큰 효과를 거두기 힘들 겁니다.”
3줄 요약
1. 최근 가짜 캡챠를 활용한 멀버타이징 캠페인이 발견됨.
2. 공격자들은 한 광고 네트워크를 악용하고 있었음.
3. 온라인 광고 산업 자체가 악성 행위의 만연에 크게 기여를 하고 있음.
이번 멀버타이징에 대한 보다 세부적인 분석 정보 및 통찰은 이번 주 목요일(19일)에 발간되는 프리미엄 리포트를 통해 공개됩니다.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 온라인 광고 생태계에서 또 다시 대형 악성 캠페인이 발견됐다. 인기 높은 브라우저들에 탑재되어 있는 보안 기능인 ‘세이프 브라우징(Safe Browsing)’ 등을 가볍게 우회하는 캠페인인데, 단 하나의 광고 네트워크를 통해 퍼지는 중이다. 이 캠페인을 통해서 공격자는 정보 탈취형 멀웨어인 룸마(Lumma)를 퍼트리고 있으며, 허위 광고 클릭수를 생성하기도 한다. 또한 3천 개 이상의 사이트로 트래픽을 강제로 유도함으로써 수천 명의 피해자들이 금전적 손해를 보게 만들기도 한다. 보안 업체 가디오랩스(Guardio Labs)가 이에 대하여 상세히 밝혀냈다.
[이미지=gettyimagesbank]
가디오랩스는 현재 이 악성 캠페인에 디셉션애즈(DeceptionAds)라는 이름을 붙여 추적 및 분석하고 있다. 공격자들은 가짜 캡챠(CAPTCHA) 인증 페이지를 통해 사용자들을 속이는데, 실제 인증 과정을 완벽히 모방한다는 특징을 가지고 있다고 가디오랩스는 강조한다. 캡챠는 콘텐츠에 접속하고 탐색하는 주체가 봇이 아니라 사람임을 입증하기 위해 널리 사용되는 인증 방식이기 때문에 사람들에게 익숙하며, ‘귀찮아서’ 생기는 거부감이 있긴 하지만 그 자체를 악성으로 의심하는 경우는 많지 않다. 이 때문에 이 캠페인의 피해자도 적지 않은 것으로 보인다.
“공격자들은 피해자들이 웹 페이지들을 탐색하는 중에 갑자기 캡챠 페이지를 보도록 공격을 설계합니다. 피해자들은 사이트를 계속 탐색하기 위해서 캡챠 인증을 통과해본 적이 있으니 별 다른 의심없이 인증에 필요한 정보를 입력합니다. 공격자들이 마련한 캡챠는 피해자가 키보드를 통해 정보를 입력하도록 요청하며, 이는 궁극적으로 윈도 시스템 내에서 실행 대화 상자를 발동시키게 됩니다. 그러면서 사용자는 자신도 모르는 사이에 교묘히 조작된 파워셸 명령을 붙여넣게 되고, 그 결과 소셜미디어 계정과 은행 크리덴셜, 비밀번호, 개인 파일 등을 가져가는 멀웨어를 설치하게 됩니다.” 가디오랩스의 설명이다.
광고 네트워크라는 중간 상인의 존재
인터넷이 막 생겨난 초창기부터 온라인 광고는 중요한 역할을 담당했다. 우리가 빅테크라고 부르는 거대 기업들의 주요 수익원이 바로 광고이기도 하다. 2023년 구글의 매출 중 70%가 광고에서 나왔을 정도다. “하지만 광고를 노출시키는 기술이 악용되는 사례가 갈수록 늘어나고 있고, 이제 빅테크의 광고 플랫폼에 악성 활동이 상수처럼 늘 존재하고 있기도 합니다. 페이스북의 가짜 전자상거래 사이트 광고, 갑자기 소프트웨어를 설치하라는 다운로드 버튼, 구글의 악성 스폰서 검색 결과 등 그 방법도 점점 다양해지고 있습니다.”
온라인 광고라는 것은 단순히 광고 플랫폼에 이미지 파일 하나 띄워놓는 것이 전부가 아니다. 광고 하나에는 광고주와, 광고가 게재되는 공간을 소유하고 있는 퍼블리셔와, 그들 사이를 중계해주는 ‘광고 네트워크’가 얽히고 설켜 만들어진다. 이 중 광고 네트워크는 광고주와 퍼블리셔가 필요로 하는 코드를 작성하고, 분석 자료를 마련하고, 광고를 관리하는 작업을 처리한다.
“웹사이트 소유자(퍼블리셔)는 광고 네트워크에 공간을 등록합니다. 그러면 광고 네트워크에서는 그 소유자의 사이트에 통합할 코드 스니펫을 제공합니다. 이를 통해 광고 영역이라는 게 생성됩니다. 이 영역이 활성화 되면 네트워크의 트래픽 분배 시스템(TDS)으로 트래픽이 전달됩니다. 그리고 광고 캠페인의 의도와 예산 등에 따라 최적화 된 광고를 그 공간에 표시하죠. 광고주는 이를 통해 서비스나 제품을 더 많은 사람들이 구매할 수 있도록 하고, 퍼블리셔는 공간 사용료를 얻고, 중간에 있는 광고 네트워크는 수수료를 받습니다.”
이런 사업 구조에서 광고 네트워크는 큰 성공을 거두었다. “중간 광고상이라고 볼 수도 있지만 네트워크와 트래픽이라는 각도에서 보면 이 광고 네트워크는 광고주와 인터넷 사용자로 이어지는 대규모 트래픽을 배포하고 관리하도록 설계된 정교한 시스템이라고도 볼 수 있습니다. 광고가 인터넷 공간 모든 곳에 존재하죠? 그러므로 광고 네트워크 역시 인터넷 내에서 광대한 영역을 차지하고 있다고 볼 수 있습니다. 그런 상태에서 광고주가 일반 기업이 아니라 해커라면 어떨까요? 적당한 대가만 지불하면 그 해커가 인터넷 사용자들로 쉽게 접근할 수 있게 되겠죠. 실제 그런 일들이 일어나고 있고, 그것을 우리는 멀버타이징(malvertising)이라고 이미 부르고 있습니다.”
멀버타이징의 가장 흔한 형태는 구글 애즈나 페이스북 등 유명 플랫폼에 정상적으로 나타나는 ‘광고’이다. 일반 광고들과 똑같은 장소에, 똑같은 형태로 노출되니 사용자들은 크게 의심할 일이 없다. 그리고 그런 광고들을 별 다른 생각 없이 클릭한다. 이번 캠페인의 경우, 가짜 광고를 클릭하면 피해자들의 화면에 가짜 캡챠 페이지가 떴고, 이를 클릭하면 룸마가 설치됐다. 광고 네트워크를 통해 누군가 이런 광고를 기획해 등록시켰다는 뜻이다. 광고 네트워크의 존재를 누군가 악용하고 있는 것이다. 누구였을까?
“추적을 진행했을 때 문제의 광고는 단일 광고 네트워크 서비스에 기반을 두고 있다는 걸 알 수 있었습니다. 또 이 캠페인에 사용된 악성 스크립트는 단일 광고 네트워크 내 수천 개 도메인으로 연결되고 있다는 것, 그리고 동일한 매개변수를 공유하고 있다는 것도 알 수 있었습니다. DNS 핑거프린트, 서버 IP와 위치를 세부적으로 분석했을 때 이 수천 개의 도메인들이 전부 해킹 그룹인 옴나투오(Omnatuor) 혹은 베인바이퍼(Vane Viper)와 관련이 있음을 알아냈습니다. 보안 업체인 인포블록스(Infoblox)가 과거에 발견하고 추적했던 적이 있는 해킹 그룹입니다.”
진짜 문제는 산업 구조
하지만 문제의 핵심은 ‘악성 공격 단체가 멀버타이징을 자꾸만 진행한다’가 아니다. 그것에 사용자들이 자꾸만 속는다는 것도 아니었다. 온라인 광고 산업이 가진 구조 자체였다. 가디오랩스는 “멀버타이징이 점점 만연해지고 발전하는 데에는 광고 산업 내 여러 주체의 공통적인 책임이 있다”고 주장한다.
“광고 네트워크 입장에서는 광고 속에 포함된 악성 콘텐츠나 트래픽까지 다 파내서 조사할 수 없다고 말하면 그만입니다. 그런 변명을 할 수 있으니 정상적인 콘텐츠나 트래픽도 일부러 모니터링하려는 노력을 하지는 않고 있을 것으로 의심됩니다만, 그걸 입증하기가 어렵겠죠.” 가디오랩스의 설명이다.
퍼블리셔는 어떨까? “자신들은 그저 사이트에 있는 자리를 일부 내준 것뿐이라고 말하면 그만입니다. 그게 사실 맞기도 합니다. 다만 이런 광고 산업의 구조에서 퍼블리셔가 멀버타이징에 공모한다면 그걸 입증하거나 예방할 수가 없습니다. 호스팅 서비스는 악성 광고 콘텐츠가 게시되는 인프라를 제공하는 업체인데, 역시 자신들은 인프라를 제공할 뿐이지 콘텐츠에 대해 관여할 수 없다고 주장합니다. 이런 모든 주장들을 합하면 아무도 책임을 지지 않는 환경이 만들어지고, 따라서 공모가 쉬워지는, 혹은 범죄를 일부러 눈감아주고 수익을 나누는 방식의 ‘의도적 태만’이 너무나 쉬워지게 됩니다. 이게 바로 지금 광고 업계의 현실이고, 그것을 지금의 멀버타이징 캠페인이 증명하고 있습니다.”
그래서...?
온라인 광고 산업에 참여하는 광고주-광고 네트워크-광고 분석 서비스-호스팅 서비스-퍼블리셔들은 합법적으로 운영되고 있으며, 합법적인 범주 안에서 협력 체계를 이루고 있고, 합법적인 산업을 구성하고 있다. 하지만 그런 합법성들 사이로 악성 행위가 별 다른 제재 없이 끊임없이 이뤄지고 있다는 건 이상한 일이다. 그 이유를 분석하니 아무도 책임을 지지 않을 수 있도록 짜여진 광고 산업 내 구성원들 간의 체제가 발견됐고, 그 어떤 악성 행위에도 핑계를 댈 수 있는 구조가 마련되어 있음을 알 수 있었다.
“원래는 합법적인 목적으로 설계된 산업이, 악의적인 활동을 촉진시킬 수 있다는 것이 입증됐습니다. 하지만 이번에 발견된 가짜 캡챠 캠페인은 빙산의 일각일 뿐입니다. 앞으로 나타날 악성 행위들까지 생각하면 더 그렇습니다. 현대 인터넷의 중추가 되어버린 온라인 광고 생태계가 구조적인 취약점을 가지고 있다는 게 이렇게 드러나고 있으니 조치를 취해야 할 것입니다.”
하지만 산업 전체를 아우르는 조치라는 게 금방 취해지기는 어려울 것이다. 그래서 가디오랩스는 “온라인 공간에서 뭔가를 무료로 준다고 했을 때 속지 말라”고 경고한다. “대부분 악성 광고와 멀버타이징 캠페인은 무료를 키워드로 가져갑니다. 무료로 소프트웨어를 주고, 무료로 영화를 보게 해주고, 무료로 현금을 준다는 식이죠. 공짜는 존재하지 않는다는 걸 반드시 기억해야 합니다. 그러면 아무리 교묘한 멀버타이징이라 하더라도 큰 효과를 거두기 힘들 겁니다.”
3줄 요약
1. 최근 가짜 캡챠를 활용한 멀버타이징 캠페인이 발견됨.
2. 공격자들은 한 광고 네트워크를 악용하고 있었음.
3. 온라인 광고 산업 자체가 악성 행위의 만연에 크게 기여를 하고 있음.
이번 멀버타이징에 대한 보다 세부적인 분석 정보 및 통찰은 이번 주 목요일(19일)에 발간되는 프리미엄 리포트를 통해 공개됩니다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
