메타데이터 필드 숨김으로 광고 검열 우회
그록AI, 공범화…바이럴 확산으로 수백만 노출
[보안뉴스 여이레 기자] 사이버보안 기업 가디오랩스가 그록을 악용해 악성 링크를 전파하고 광고 보호장치를 우회하는 새로운 기술이 등장했다고 경고했다.
[자료: 연합뉴스]
나티 탈 가디오랩스 연구소장은 이를 ‘그로킹’(Grokking)이라 명명하고 X에서 이를 공개했다. 이 방법은 X의 프로모션 광고에서 텍스트, 이미지, 또는 동영상만 삽입이 가능하다는 제약을 교묘하게 피한다.
사기 광고주들은 먼저 성인 콘텐츠가 포함된 영상 카드 형태의 광고 게시글을 올리고 별도의 악성 링크를 동영상 플레이어 하단의 ‘From:’ 메타데이터 필드에 숨기는데, 이는 이 필드가 플랫폼의 검사를 우회한다는 점을 이용한 것이다.
이어 사이버 범죄자들은 해당 게시글에 그록 계정을 태그해 “이 동영상의 출처가 어디인가?” 등 질문을 남긴다. 이에 그록은 메타데이터에 숨겨진 링크를 대답으로 공개하고 이를 통해 바이러스성 홍보 스레드 아래에 숨어 수백만 개의 피드와 검색 결과로 퍼져나간다.
나티 탈은 “이제는 SEO에까지 영향을 미친다. 도메인 신용도가 올라가고, 그록 계정이 수백만의 노출을 얻은 게시글에서 링크를 에코했기 때문”이라고 밝혔다. 이어 “광고에 금지된 악성 링크가 공개적으로 드러나고 시스템에서 신뢰하는 그록 계정이 바이럴 광고 게시글 바로 밑에 위치하게 된다. 결국 해당 링크는 수많은 피드와 검색 결과로 바로 확산된다”고 덧붙였다.
가디오 측은 이러한 링크들이 사용자를 위험한 광고 네트워크(ad network)로 유도하며, 가짜 캡차 사기, 정보 탈취 악성코드, 기타 의심스러운 콘텐츠를 직접 배포하는 스마트링크(smartlink) 방식으로 연결된다고 설명했다. 문제의 도메인들은 악성 광고 기술 업체가 교란 트래픽 유입을 위해 사용하는 ‘Traffic Distribution System(TDS)’에 속한 것으로 파악됐다.
가디오는 최근 며칠간 이러한 행위를 반복하는 계정을 수백 개 이상 발견했다고 구체적으로 전했다. 각 계정은 수백, 수천 건의 유사 게시물을 비연속적으로 올리며, 결국 플랫폼 정책 위반으로 계정이 차단될 때까지 며칠 동안 활동을 지속했다. 가디오는 “이들이 매우 조직적으로 움직이고 있으며, 노출 규모도 막대하다”고 분석했다.
[여이레 기자(gore@boannews.com)]
그록AI, 공범화…바이럴 확산으로 수백만 노출
[보안뉴스 여이레 기자] 사이버보안 기업 가디오랩스가 그록을 악용해 악성 링크를 전파하고 광고 보호장치를 우회하는 새로운 기술이 등장했다고 경고했다.
[자료: 연합뉴스]
나티 탈 가디오랩스 연구소장은 이를 ‘그로킹’(Grokking)이라 명명하고 X에서 이를 공개했다. 이 방법은 X의 프로모션 광고에서 텍스트, 이미지, 또는 동영상만 삽입이 가능하다는 제약을 교묘하게 피한다.
사기 광고주들은 먼저 성인 콘텐츠가 포함된 영상 카드 형태의 광고 게시글을 올리고 별도의 악성 링크를 동영상 플레이어 하단의 ‘From:’ 메타데이터 필드에 숨기는데, 이는 이 필드가 플랫폼의 검사를 우회한다는 점을 이용한 것이다.
이어 사이버 범죄자들은 해당 게시글에 그록 계정을 태그해 “이 동영상의 출처가 어디인가?” 등 질문을 남긴다. 이에 그록은 메타데이터에 숨겨진 링크를 대답으로 공개하고 이를 통해 바이러스성 홍보 스레드 아래에 숨어 수백만 개의 피드와 검색 결과로 퍼져나간다.
나티 탈은 “이제는 SEO에까지 영향을 미친다. 도메인 신용도가 올라가고, 그록 계정이 수백만의 노출을 얻은 게시글에서 링크를 에코했기 때문”이라고 밝혔다. 이어 “광고에 금지된 악성 링크가 공개적으로 드러나고 시스템에서 신뢰하는 그록 계정이 바이럴 광고 게시글 바로 밑에 위치하게 된다. 결국 해당 링크는 수많은 피드와 검색 결과로 바로 확산된다”고 덧붙였다.
가디오 측은 이러한 링크들이 사용자를 위험한 광고 네트워크(ad network)로 유도하며, 가짜 캡차 사기, 정보 탈취 악성코드, 기타 의심스러운 콘텐츠를 직접 배포하는 스마트링크(smartlink) 방식으로 연결된다고 설명했다. 문제의 도메인들은 악성 광고 기술 업체가 교란 트래픽 유입을 위해 사용하는 ‘Traffic Distribution System(TDS)’에 속한 것으로 파악됐다.
가디오는 최근 며칠간 이러한 행위를 반복하는 계정을 수백 개 이상 발견했다고 구체적으로 전했다. 각 계정은 수백, 수천 건의 유사 게시물을 비연속적으로 올리며, 결국 플랫폼 정책 위반으로 계정이 차단될 때까지 며칠 동안 활동을 지속했다. 가디오는 “이들이 매우 조직적으로 움직이고 있으며, 노출 규모도 막대하다”고 분석했다.
[여이레 기자(gore@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
_m.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
