.gif)
합법과 불법 그 사이 어딘가에 존재하는 회색 영역이 사이버 공격자들의 관심을 끌고 있다. 회색 영역은 원래 방어하는 자들에게나 모호하지, 공격하는 자들에게는 그렇지 않다. 그 이점을 공격자들이 잘 살리는 중이다.
3줄 요약
1. 검색엔진의 검색 결과를 조작하고 싶은 건 누구에게나 있는 소원.
2. 사실 마케터들이 합법적으로 하는 것이기도 함.
3. 공격자들 역시 검색엔진 알고리즘을 최대한 ‘악의적으로’ 활용하고 있으니 주의 필요.
[보안뉴스 문가용 기자] 사이버 공격자들이 피해자들을 어디론가 유도하기 위해 사용하는 여러 가지 기법 중 ‘검색 최적화 조작(SEO poisoning)’이 있다. 뭔가를 검색하는 사람들이 검색엔진들에 키워드를 입력했을 때 나오는 결과창을 조작하는 기법인데, 유명 검색엔진의 결과창을 사람들은 있는 그대로 신뢰하는 편이기 때문에 별다른 의심 없이 링크들을 클릭하는 편이라는 걸 악용하는 것이다. 다양한 유형의 악성 행위자들이 이 기법을 즐겨 사용한다.
[이미지 = gettyimagesbank]
큰 틀에서 보자면 검색 최적화 조작 공격은 간단하다. 검색엔진의 알고리즘을 조작함으로써 공격자들이 지정한 악성 웹사이트가 검색 결과 목록에서 위에 위치할 수 있도록 하면 되기 때문이다. 보통 사용자들은 검색 결과 창에서 위에 뜨는 것들을 주로 클릭하는 것을 노리는 것으로, 대부분의 보안 환경이나 플랫폼에서는 검색엔진이 상위에 띄운 악성 페이지 링크들을 위협으로 간주하지 않는다.
보안 업체 렐리아퀘스트(ReliaQuest)는 2023년 8월부터 2024년 1월까지 매월 검색 최적화 조작 기법을 통해 퍼지는 악성 코드가 10% 증가하고 있다는 것을 발견했다고 올해 초에 발표한 적이 있다. 그러면서 “솔라마커(Solarmaker)나 굿로더(Gootloader) 등 검색 최적화 조작 기법을 쉽게 만들어주는 서비스와 툴킷이 존재하며, 공격자들은 이를 활용해 최근 트렌드에 맞는 검색 키워드를 선정하고 심리전을 능숙하게 펼치는 등 공격 성공률이 전체적으로 올라가고 있다”고 경고했었다.
“구글이나 빙과 같은 검색엔진들은 검색 최적화 기술을 사용하여 지금 검색 키워드를 입력한 사용자에게 가장 적합한 콘텐츠가 무엇일지를 결정하며, 그 적합성을 순서대로 정리하여 검색 결과 목록을 만듭니다. 즉, 검색 최적화 기술 자체는 합법적이며, 널리 사용되는 것입니다. 광고 산업과 마케터들도 이 검색엔진의 알고리즘을 활용하여 자신들이 광고하고자 하는 제품이나 서비스가 높은 검색 순위를 차지할 수 있도록 하지요. 당연하지만 공격자들도 검색 최적화를 잘 이해하고 있고, 이를 피싱 공격에 활용하는 것입니다.” 렐리아퀘스트 측의 설명이다.
그러므로 ‘검색 최적화 조작’은 특정 단일 해킹 기술 혹은 피싱 기법을 말하는 게 아니다. 검색엔진이 가지고 있는 알고리즘을 망가트리거나 악용하는 것이기 때문에 ‘검색 엔진 최적화’라는 카테고리 안에 여러 가지 기법이 혼합되어 사용되는 것이 보통이다. “그러나 그 중에서도 가장 선호되는 기법들이 있기 마련인데, 최근에는 링크팜(link farm)이나 키워드 채워넣기(keyword stuffing)가 단연 눈에 띕니다. 이 기법을 통해 공격자들은 검색엔진이 공격자들의 사이트에 높은 순위를 매기도록 하고 있습니다.”
두 가지 대표 전략
먼저 링크팜이란, 검색엔진의 알고리즘 중 ‘방문자의 수’에 따라 중요도나 관련성을 결정하는 특징을 악용하는 수법이라고 할 수 있다. “검색엔진은 웹사이트의 순위를 매길 때 사이트 방문자의 수를 고려해 해당 사이트의 관련성이나 신뢰도를 판단합니다. 웹사이트에 링크가 많으면 많을수록 그 사이트는 검색 결과에서 높은 순위를 얻게 되겠죠. 공격자들이 여기에 착안해 링크팜이라는 기법을 개발했습니다. 링크팜은 사이트 방문자 수를 늘린다는 목적으로만 존재하는 웹사이트 네트워크라고 할 수 있습니다. 여기에 걸려들면 검색엔진들은 단순히 방문자 수만 보고(링크 클릭 수) 사이트의 순위를 높게 책정합니다.”
키워드 채우기란, 검색엔진들이 콘텐츠 내 키워드와 사용자가 검색할 때 입력하는 키워드를 매칭시키는 알고리즘을 농락하기 위한 기법이라고 할 수 있다. “검색엔진은 콘텐츠에서 키워드를 찾고, 그 키워드가 검색 주제와 얼마나 관련이 있는지를 평가하기도 합니다. 그래서 공격자들은 온갖 키워드를 잔뜩 포함한 웹사이트를 만들어 검색 순위를 높입니다. 자신들이 만든 사이트에 별별 키워드들만 의미 없이 채워넣는 것이죠. 자동 기술이 발전해 있어 이런 웹 페이지들을 순식간에 만들 수 있습니다. 키워드들의 출처를 다양히 하기도 합니다.”
어떻게 방어해야 하는가
일반 사용자들이 검색 엔진 최적화 조작 공격에 휘말려들지 않으려면 어떻게 해야 할까? 렐리아퀘스트는 다음 두 가지를 강력히 권장한다.
1) 파일 확장자 표시 활성화 : “기본적으로 윈도 OS는 사용자에게 파일 확장자를 노출시키지 않습니다. 여기에는 이유가 있습니다. 사용자가 실수로 확장자까지 바꿈으로써 오류를 일으키지 않도록 하는 것이죠. 하지만 이 때문에 악성 파일이 숨겨지기도 합니다. 예를 들어 ‘검색키워드.pdf’라는 악성 파일의 경우, 사실은 ‘검색키워드.pdf.exe’라는 실행파일인 경우가 많습니다. 사용자는 PDF 문서인줄 알고 더블클릭하는데, 사실은 실행파일을 실행시키게 됩니다. 따라서 윈도 옵션에서 파일 확장자까지 같이 표시되도록 바꾸는 게 안전합니다.”
2) 기본 스크립트 실행 프로그램을 메모장으로 변경 : 자바스크립트나 비주얼베이직 스크립트 등 스크립트 파일을 더블클릭 했을 때 이를 실행시키는 디폴트 프로그램이 메모장이 되도록 변경하는 게 안전하다. 그렇지 않을 경우 스크립트 내의 기능들이 실행되면서 악성 요소들이 시스템에 퍼질 확률이 높아진다. 메모장은 스크립트 내용을 여는 것에 불과하므로 악성 기능들이 실행되지 않는다.
그래서
검색 최적화 조작 수법은 그 자체로 정상적이며 합법적이나, 악용될 소지가 매우 높으며 실제 악용 사례도 많은 ‘회색 기술’이라고 할 수 있다. 회색 지대에 있는 요소들은 정상적인 것과 비정상적인 것을 구분하기가 매우 어려우며, 공격자들은 그런 틈을 노려 악성 행위를 마음껏 저지른다. 검색 최적화 조작 공격이 성행하는 것이 바로 그런 이유에서다.
이를 줄이기 위해서는 검색엔진 개발사들은 물론, 검색 쿼리와 다운로드 된 파일을 모두 점검할 기술적 배경을 갖춘 보안 기업들이나 보안 전문가들이 적극 나서야만 한다. 회색 지대의 구분을 보다 분명히 하기 위한 규정 정비도 필요할 수 있다. 하지만 이런 종합적 대처에는 시간이 걸리므로 사용자 개개인이 여러 보안 조언들을 듣고 실천할 필요가 있다. 윈도 사용자라면 파일 확장자가 보이도록 옵션을 바꾸고, 스크립트 파일들의 기본 실행 프로그램을 메모장으로 전환하는 것부터 시작하는 게 알맞아 보인다.
하지만 그 두 가지 조정을 통해서도 검색엔진에 도사리는 위협들로부터 완전히 안전할 수는 없다. 자신이 검색한 결과로 나온 창에 위험이 있을 수 있다는 의심을 언제나 품은 채로 결과를 탐색해야 한다. 특히 PDF 파일을 다운로드 받아야만 하는 상황이라면 그 파일이 호스팅 되어 있는 사이트에 대해 먼저 조사해보는 것도 현명하다. 어차피 ‘출처 확인’은 점점 누구에게나 필요한 소양이 되어가는 중이기도 하다.
검색 최적화 조작 공격이 실제 어떤 시나리오로 이뤄지는지, 실제 사례에는 어떤 것이 있는지, 산업 내 각 구성원들이 어떻게 대처해야 하는지는 이번 주 1월 2일에 발간되는 프리미엄 리포트 중 보안뉴스 확장판 섹션을 통해 확인이 가능합니다.
[국제부 문가용 기자(globoan@boannews.com)]
3줄 요약
1. 검색엔진의 검색 결과를 조작하고 싶은 건 누구에게나 있는 소원.
2. 사실 마케터들이 합법적으로 하는 것이기도 함.
3. 공격자들 역시 검색엔진 알고리즘을 최대한 ‘악의적으로’ 활용하고 있으니 주의 필요.
[보안뉴스 문가용 기자] 사이버 공격자들이 피해자들을 어디론가 유도하기 위해 사용하는 여러 가지 기법 중 ‘검색 최적화 조작(SEO poisoning)’이 있다. 뭔가를 검색하는 사람들이 검색엔진들에 키워드를 입력했을 때 나오는 결과창을 조작하는 기법인데, 유명 검색엔진의 결과창을 사람들은 있는 그대로 신뢰하는 편이기 때문에 별다른 의심 없이 링크들을 클릭하는 편이라는 걸 악용하는 것이다. 다양한 유형의 악성 행위자들이 이 기법을 즐겨 사용한다.
[이미지 = gettyimagesbank]
큰 틀에서 보자면 검색 최적화 조작 공격은 간단하다. 검색엔진의 알고리즘을 조작함으로써 공격자들이 지정한 악성 웹사이트가 검색 결과 목록에서 위에 위치할 수 있도록 하면 되기 때문이다. 보통 사용자들은 검색 결과 창에서 위에 뜨는 것들을 주로 클릭하는 것을 노리는 것으로, 대부분의 보안 환경이나 플랫폼에서는 검색엔진이 상위에 띄운 악성 페이지 링크들을 위협으로 간주하지 않는다.
보안 업체 렐리아퀘스트(ReliaQuest)는 2023년 8월부터 2024년 1월까지 매월 검색 최적화 조작 기법을 통해 퍼지는 악성 코드가 10% 증가하고 있다는 것을 발견했다고 올해 초에 발표한 적이 있다. 그러면서 “솔라마커(Solarmaker)나 굿로더(Gootloader) 등 검색 최적화 조작 기법을 쉽게 만들어주는 서비스와 툴킷이 존재하며, 공격자들은 이를 활용해 최근 트렌드에 맞는 검색 키워드를 선정하고 심리전을 능숙하게 펼치는 등 공격 성공률이 전체적으로 올라가고 있다”고 경고했었다.
“구글이나 빙과 같은 검색엔진들은 검색 최적화 기술을 사용하여 지금 검색 키워드를 입력한 사용자에게 가장 적합한 콘텐츠가 무엇일지를 결정하며, 그 적합성을 순서대로 정리하여 검색 결과 목록을 만듭니다. 즉, 검색 최적화 기술 자체는 합법적이며, 널리 사용되는 것입니다. 광고 산업과 마케터들도 이 검색엔진의 알고리즘을 활용하여 자신들이 광고하고자 하는 제품이나 서비스가 높은 검색 순위를 차지할 수 있도록 하지요. 당연하지만 공격자들도 검색 최적화를 잘 이해하고 있고, 이를 피싱 공격에 활용하는 것입니다.” 렐리아퀘스트 측의 설명이다.
그러므로 ‘검색 최적화 조작’은 특정 단일 해킹 기술 혹은 피싱 기법을 말하는 게 아니다. 검색엔진이 가지고 있는 알고리즘을 망가트리거나 악용하는 것이기 때문에 ‘검색 엔진 최적화’라는 카테고리 안에 여러 가지 기법이 혼합되어 사용되는 것이 보통이다. “그러나 그 중에서도 가장 선호되는 기법들이 있기 마련인데, 최근에는 링크팜(link farm)이나 키워드 채워넣기(keyword stuffing)가 단연 눈에 띕니다. 이 기법을 통해 공격자들은 검색엔진이 공격자들의 사이트에 높은 순위를 매기도록 하고 있습니다.”
두 가지 대표 전략
먼저 링크팜이란, 검색엔진의 알고리즘 중 ‘방문자의 수’에 따라 중요도나 관련성을 결정하는 특징을 악용하는 수법이라고 할 수 있다. “검색엔진은 웹사이트의 순위를 매길 때 사이트 방문자의 수를 고려해 해당 사이트의 관련성이나 신뢰도를 판단합니다. 웹사이트에 링크가 많으면 많을수록 그 사이트는 검색 결과에서 높은 순위를 얻게 되겠죠. 공격자들이 여기에 착안해 링크팜이라는 기법을 개발했습니다. 링크팜은 사이트 방문자 수를 늘린다는 목적으로만 존재하는 웹사이트 네트워크라고 할 수 있습니다. 여기에 걸려들면 검색엔진들은 단순히 방문자 수만 보고(링크 클릭 수) 사이트의 순위를 높게 책정합니다.”
키워드 채우기란, 검색엔진들이 콘텐츠 내 키워드와 사용자가 검색할 때 입력하는 키워드를 매칭시키는 알고리즘을 농락하기 위한 기법이라고 할 수 있다. “검색엔진은 콘텐츠에서 키워드를 찾고, 그 키워드가 검색 주제와 얼마나 관련이 있는지를 평가하기도 합니다. 그래서 공격자들은 온갖 키워드를 잔뜩 포함한 웹사이트를 만들어 검색 순위를 높입니다. 자신들이 만든 사이트에 별별 키워드들만 의미 없이 채워넣는 것이죠. 자동 기술이 발전해 있어 이런 웹 페이지들을 순식간에 만들 수 있습니다. 키워드들의 출처를 다양히 하기도 합니다.”
어떻게 방어해야 하는가
일반 사용자들이 검색 엔진 최적화 조작 공격에 휘말려들지 않으려면 어떻게 해야 할까? 렐리아퀘스트는 다음 두 가지를 강력히 권장한다.
1) 파일 확장자 표시 활성화 : “기본적으로 윈도 OS는 사용자에게 파일 확장자를 노출시키지 않습니다. 여기에는 이유가 있습니다. 사용자가 실수로 확장자까지 바꿈으로써 오류를 일으키지 않도록 하는 것이죠. 하지만 이 때문에 악성 파일이 숨겨지기도 합니다. 예를 들어 ‘검색키워드.pdf’라는 악성 파일의 경우, 사실은 ‘검색키워드.pdf.exe’라는 실행파일인 경우가 많습니다. 사용자는 PDF 문서인줄 알고 더블클릭하는데, 사실은 실행파일을 실행시키게 됩니다. 따라서 윈도 옵션에서 파일 확장자까지 같이 표시되도록 바꾸는 게 안전합니다.”
2) 기본 스크립트 실행 프로그램을 메모장으로 변경 : 자바스크립트나 비주얼베이직 스크립트 등 스크립트 파일을 더블클릭 했을 때 이를 실행시키는 디폴트 프로그램이 메모장이 되도록 변경하는 게 안전하다. 그렇지 않을 경우 스크립트 내의 기능들이 실행되면서 악성 요소들이 시스템에 퍼질 확률이 높아진다. 메모장은 스크립트 내용을 여는 것에 불과하므로 악성 기능들이 실행되지 않는다.
그래서
검색 최적화 조작 수법은 그 자체로 정상적이며 합법적이나, 악용될 소지가 매우 높으며 실제 악용 사례도 많은 ‘회색 기술’이라고 할 수 있다. 회색 지대에 있는 요소들은 정상적인 것과 비정상적인 것을 구분하기가 매우 어려우며, 공격자들은 그런 틈을 노려 악성 행위를 마음껏 저지른다. 검색 최적화 조작 공격이 성행하는 것이 바로 그런 이유에서다.
이를 줄이기 위해서는 검색엔진 개발사들은 물론, 검색 쿼리와 다운로드 된 파일을 모두 점검할 기술적 배경을 갖춘 보안 기업들이나 보안 전문가들이 적극 나서야만 한다. 회색 지대의 구분을 보다 분명히 하기 위한 규정 정비도 필요할 수 있다. 하지만 이런 종합적 대처에는 시간이 걸리므로 사용자 개개인이 여러 보안 조언들을 듣고 실천할 필요가 있다. 윈도 사용자라면 파일 확장자가 보이도록 옵션을 바꾸고, 스크립트 파일들의 기본 실행 프로그램을 메모장으로 전환하는 것부터 시작하는 게 알맞아 보인다.
하지만 그 두 가지 조정을 통해서도 검색엔진에 도사리는 위협들로부터 완전히 안전할 수는 없다. 자신이 검색한 결과로 나온 창에 위험이 있을 수 있다는 의심을 언제나 품은 채로 결과를 탐색해야 한다. 특히 PDF 파일을 다운로드 받아야만 하는 상황이라면 그 파일이 호스팅 되어 있는 사이트에 대해 먼저 조사해보는 것도 현명하다. 어차피 ‘출처 확인’은 점점 누구에게나 필요한 소양이 되어가는 중이기도 하다.
검색 최적화 조작 공격이 실제 어떤 시나리오로 이뤄지는지, 실제 사례에는 어떤 것이 있는지, 산업 내 각 구성원들이 어떻게 대처해야 하는지는 이번 주 1월 2일에 발간되는 프리미엄 리포트 중 보안뉴스 확장판 섹션을 통해 확인이 가능합니다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
