멀웨어 숨기는 방법 꾸준히 개발돼 잡아내는 시간 점점 지연
온라인 광고에 대한 사용자들의 불신 쌓이면 광고 생태계 파괴

[보안뉴스 문가용] 멀버타이징 캠페인은 수일 내에 발견되는 게 보통이다. 그런데 최근 대형 광고 네트워크에 침입해 활동한 멀버타이징이 3주 동안이나 발견되지 않았다고 멀웨어바이츠(Malwarebytes)가 최근 보고했다.
 


“뭔가 이상했어요. 분명히 뭔가 이상한 게 있는데 어디에서부터 온 건지, 그게 뭔지 정확히 짚어낼 수는 없었죠.” 멀웨어바이츠의 수석 보안 전문가인 제롬 세구라(Jerome Segura)의 설명이다.

세구라는 이번 멀버타이징 공격을 감행한 해커들이 과거 멀웨어바이츠에서 적발한 적이 있는 팀인 것 같다고 한다. 다만 그 동안 여러 가지 공격법을 새롭게 개발해 추적을 어렵게 만들었다는 것. 그가 이렇게 생각하는 건 다음과 같은 이유다.

1. 해커들이 실시간 응찰 등의 방법을 활용, 합법적인 사업자로 보이기 위해 오랜 기간 물밑작업을 해왔다. 도메인 이름은 수년 전부터 등록되어온 것이고, 심지어 거래개선협회에 등록되기도 했다. 또한 멀버타이징에 사용되는 광고의 질도 높아서 전문 디자이너의 손길이 느껴진다.

2. 광고 자체는 완벽하도록 깨끗했다. 광고에 악성 코드를 직접 삽입하지 않고 광고를 클릭할 경우 사용자가 도착하는 최종 사이트에다가 다운로드가 되는 악성 코드를 주입했다. 이번 사건의 경우 앵글러 익스플로잇 킷이 사용되었다.

“어찌됐던, 멀버타이징의 가장 큰 해악은 광고사와 광고주 간의 신뢰를 무너트린다는 거죠.” 세구라의 설명이다. 보통 광고주들은(이 경우 멀버타이저) 자신들의 광고 콘텐츠를 조정하기 위해 자사의 서버에서부터 암호화된 HTTPS 채널을 통해 광고물을 업로드한다. 즉, 광고 자리를 내주는 사람 입장에서는 편의를 위해 광고주에게 그런 권한을 허락해주는 건데, 그걸 악용하는 게 멀웨어라는 것.

“멀버타이징이 계속 발생하면 광고 업계에서 이런 방식을 점점 허락하지 않는 방향으로 가겠죠.” 하지만 그것이 지금의 현실이다. “사기성 의도를 가진 HTTPS 광고 서버에 대해서는 현재 광고 업계는 무방비로 노출되어 있습니다.”

또 다른 멀버타이징 수법이 공개되었다. 바로 구글의 단축 URL을 사용해 트래픽을 우회시키는 것이다. 해당 수법에 대해 인지한 구글이 현재 이에 대한 대책을 마련하고 있다. “결국 멀버타이징을 감행하는 자들은 현재 자신들이 준비한 멀웨어를 어디다 숨겨야 할지 고민하고, 적당한 곳을 찾아 헤매고 있습니다. 그 와중에 여러 가지 방법이 개발되는 것이죠.”

그리고 그런 노력들은 꽤나 잘 통하고 있다. 멀버타이저들이 농락한 광고 네트워크는 이른 바 ‘메이저’들로, 더블클릭(DoubleClick), 앱넥서스(AppNexus), 엑소클릭(ExoClick) 등이 있으니 말이다. 이 광고 네트워크는 하나같이 한 달에 수 천만의 방문자를 자랑하는 곳들이며, 그렇기 때문에 멀버타이징에 걸리면 치명적으로 작용할 수밖에 없다.

“하지만 가장 큰 피해자는 광고 네트워크도 아니고, 멀버타이징을 클릭한 소비자도 아니고, 아무 것도 모른 채 하필 그 악성 광고들을 호스팅한 사이트죠. 명성에 엄청난 손상이 갑니다.” 그러나 장기적으로 봤을 땐 광고 네트워크 혹은 온라인 광고 산업 자체에도 치명적인 타격을 줄 것이라고 세구라는 내다보고 있다. “결국 소비자들이 광고를 클릭하지 않기 시작하면 이 업계도 끝이거든요.”

세구라는 그래서 사용자들이 광고는 결국 멀웨어를 옮기는 ‘그릇’으로 사용되는 것일뿐이라는 걸 기억해야 한다고 강조한다. “광고를 아예 블록시키는 앱이나 솔루션을 사용하는 건 온라인의 중요한 생태계 하나를 파괴하는 거라고 생각합니다. 사용자 각자가 시스템을 주기적으로 업데이트하고 보안 툴을 갖추면 멀버타이징도 전혀 위협적인 존재가 아닙니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>