.gif)
취약하기로는 으뜸인 플래시, HTML5로 대체되는 중
멀버타이징 공격은 광고 생태계 자체에 대한 공격
[보안뉴스 문가용] 현대 사이버 환경에서 가장 악용되고 남용되는 소프트웨어를 꼽으라면 십중팔구 플래시를 첫 손에 꼽을 것이다. 자체적으로 가지고 있는 취약점도 많아, 플렉세라 소프트웨어(Flexera Software)에서 발간한 취약점 리뷰 2016(Vulnerability Review 2016)에 의하면 2014년과 2015년에 발견된 플래시 취약점이 457개에 달한다. 이는 516개를 기록한 크롬에 이어 두 번째다. 하지만 플래시가 크롬보다 더 문제인 건, 해커들의 선호도가 다르기 때문이다.
.jpg)
그렇기 때문에 많은 브라우저 제조사들이 플래시의 사용을 제한하고 있기도 하다. IE와 에지의 제조사인 MS는 올 4월 페이지의 핵심 콘텐츠가 아닌 이상 플래시의 자동 재생을 더 이상 지원하지 않을 것이라는 발표를 했다. 그밖에 구글, 모질라 등 여러 브라우저의 제조사들도 비슷한 조치를 취했다. 따라서 애니메이션화 된 콘텐츠를 페이지에 실으려는 사람들에겐 HTML5라는 옵션만이 남은(혹은 남을) 상태다. 움직이는 이미지로 구성되었지만 핵심 콘텐츠가 아닌 게 뭐가 있을까? 온라인 광고가 제일 먼저 떠오른다. 그리고 온라인 광고는 멀버타이징이란 사이버 공격 기법의 플랫폼이 되고 있는 게 현실이다.
HTML5는 플래시와 달리 멀버타이징의 차단에 도움이 될까? 온라인 광고를 조사하는 업체인 지오에지(GeoEdge)가 최근 발표한 보고서에 의하면 플래시와 HTML5 모두에 일장일단이 존재한다고 한다. 플래시는 부분픽셀 지원 기능이 있어 보다 선명하지만, HTML5처럼 윈도우 크기에 따라 자동으로 크기조정이 되지는 않는다. 플래시가 요구하는 컴퓨터 프로세서 파워가 HTML5의 그것보다 더 높지만, 광고 파일 용량 자체는 HTML5가 약 100kb 더 크다.
보안의 측면에서는 어떨까? 플래시에서는 취약점들이 거의 ‘주기적’일 정도로 발견된다. HTML5는 그렇지 않다. 그럼에도 HTML5가 멀버타이징을 막을 수 있을 것이라는 기대감은 갖지 않는 편이 좋다. 왜냐하면 멀버타이징 공격은 플래시나 HTML5의 취약점이나 보안성과는 별 상관이 없기 때문이다. 멀버타이징은 온라인 광고 생태계 자체에 있는 허점을 악용한 공격이다.
온라인 광고 표준은 VAST와 VPAID로, 2012년에 마련되었다. 인터넷광고국(Internet Advertising Bureau)이 당시 말했듯 이 두 표준은 사용자의 풍부한 경험과 판매자(광고주)와의 상호작용에 초점을 둔 것이라고 볼 수 있다. 이 큰 원리는 플래시를 쓰든 HTML5를 쓰든 변하지 않는다. “두 표준이 있기 때문에 광고주들은 사용자에 대한 정보를 받아볼 수 있게 됩니다. 사용자 정보를 얻으려면 광고 안에 제3의 코드를 삽입할 수 있어야 하죠. 제3의 코드가 한 번 삽입되면 공격자들에게 문이 활짝 열리는 꼴이 됩니다.” 지오에지 측의 설명이다. “게다가 HTML5는 자바스크립트로 되어 있죠. HTML5 자체에 악성 코드를 패키징하는 것도 그리 어려운 일이 아닙니다.”
심지어 얼마 전에는 온전히 자바스크립트로만 만들어진 랜섬웨어인 RAA가 발견되기도 했다. 이론 상 HTML5를 통해 랜섬웨어를 최종사용자에게 곧바로 전달하는 것도 가능하다는 뜻이다. “자바스크립트는 가장 보편적인 프로그램 언어 중 하나죠. 해커 한 명이 기가 막힌 악성 코드를 자바스크립트로 개발해 삽입했다고 칩시다. 그러면 다른 해커들도 소스코드 보기를 통해 해당 멀웨어를 쉽게 가져다 쓸 수 있어요. 플래시가 HTML5로 대체된다? 모방범죄 및 유사범죄가 훨씬 빨리 퍼질 수도 있습니다.”
HTML5로 개편되면 상황이 악화될 가능성도 분명 존재한다는 것인데, 안타깝게도 멀버타이징 공격을 막을 수 있는 솔루션이나 정책 같은 건 존재할 수 없도록 환경이 이미 조성되어 있다. 에프시큐어(F-Secure)라는 보안업체에 따르면 “광고 산업 종사자들의 마인드가 바뀌어야 한다.” 광고 플랫폼에 대한 보안 검사, 광고주가 준 광고 파일들에 대한 철저한 보안 검열이 먼저 이루어져야 하는데, “이는 샌드박스 기술이 사용되고 있는 현재, 그다지 어려운 일이 아니”라고 한다.
또한 HTML5 광고가 플래시보다 용량이 크다는 특징이 공격 통로를 더 크게 만드는 데 일조할 수 있다는 지적도 있다. HTML5 광고가 대세가 된다면, 더 많은 용량을 소화해야 하기 때문에 대역폭을 넓혀야 하고, 이는 더 활발하고 적극적인 공격을 부추길 수 있다는 것이다.
[국제부 문가용 기자(globoan@boannews.com)]
멀버타이징 공격은 광고 생태계 자체에 대한 공격
[보안뉴스 문가용] 현대 사이버 환경에서 가장 악용되고 남용되는 소프트웨어를 꼽으라면 십중팔구 플래시를 첫 손에 꼽을 것이다. 자체적으로 가지고 있는 취약점도 많아, 플렉세라 소프트웨어(Flexera Software)에서 발간한 취약점 리뷰 2016(Vulnerability Review 2016)에 의하면 2014년과 2015년에 발견된 플래시 취약점이 457개에 달한다. 이는 516개를 기록한 크롬에 이어 두 번째다. 하지만 플래시가 크롬보다 더 문제인 건, 해커들의 선호도가 다르기 때문이다.
그렇기 때문에 많은 브라우저 제조사들이 플래시의 사용을 제한하고 있기도 하다. IE와 에지의 제조사인 MS는 올 4월 페이지의 핵심 콘텐츠가 아닌 이상 플래시의 자동 재생을 더 이상 지원하지 않을 것이라는 발표를 했다. 그밖에 구글, 모질라 등 여러 브라우저의 제조사들도 비슷한 조치를 취했다. 따라서 애니메이션화 된 콘텐츠를 페이지에 실으려는 사람들에겐 HTML5라는 옵션만이 남은(혹은 남을) 상태다. 움직이는 이미지로 구성되었지만 핵심 콘텐츠가 아닌 게 뭐가 있을까? 온라인 광고가 제일 먼저 떠오른다. 그리고 온라인 광고는 멀버타이징이란 사이버 공격 기법의 플랫폼이 되고 있는 게 현실이다.
HTML5는 플래시와 달리 멀버타이징의 차단에 도움이 될까? 온라인 광고를 조사하는 업체인 지오에지(GeoEdge)가 최근 발표한 보고서에 의하면 플래시와 HTML5 모두에 일장일단이 존재한다고 한다. 플래시는 부분픽셀 지원 기능이 있어 보다 선명하지만, HTML5처럼 윈도우 크기에 따라 자동으로 크기조정이 되지는 않는다. 플래시가 요구하는 컴퓨터 프로세서 파워가 HTML5의 그것보다 더 높지만, 광고 파일 용량 자체는 HTML5가 약 100kb 더 크다.
보안의 측면에서는 어떨까? 플래시에서는 취약점들이 거의 ‘주기적’일 정도로 발견된다. HTML5는 그렇지 않다. 그럼에도 HTML5가 멀버타이징을 막을 수 있을 것이라는 기대감은 갖지 않는 편이 좋다. 왜냐하면 멀버타이징 공격은 플래시나 HTML5의 취약점이나 보안성과는 별 상관이 없기 때문이다. 멀버타이징은 온라인 광고 생태계 자체에 있는 허점을 악용한 공격이다.
온라인 광고 표준은 VAST와 VPAID로, 2012년에 마련되었다. 인터넷광고국(Internet Advertising Bureau)이 당시 말했듯 이 두 표준은 사용자의 풍부한 경험과 판매자(광고주)와의 상호작용에 초점을 둔 것이라고 볼 수 있다. 이 큰 원리는 플래시를 쓰든 HTML5를 쓰든 변하지 않는다. “두 표준이 있기 때문에 광고주들은 사용자에 대한 정보를 받아볼 수 있게 됩니다. 사용자 정보를 얻으려면 광고 안에 제3의 코드를 삽입할 수 있어야 하죠. 제3의 코드가 한 번 삽입되면 공격자들에게 문이 활짝 열리는 꼴이 됩니다.” 지오에지 측의 설명이다. “게다가 HTML5는 자바스크립트로 되어 있죠. HTML5 자체에 악성 코드를 패키징하는 것도 그리 어려운 일이 아닙니다.”
심지어 얼마 전에는 온전히 자바스크립트로만 만들어진 랜섬웨어인 RAA가 발견되기도 했다. 이론 상 HTML5를 통해 랜섬웨어를 최종사용자에게 곧바로 전달하는 것도 가능하다는 뜻이다. “자바스크립트는 가장 보편적인 프로그램 언어 중 하나죠. 해커 한 명이 기가 막힌 악성 코드를 자바스크립트로 개발해 삽입했다고 칩시다. 그러면 다른 해커들도 소스코드 보기를 통해 해당 멀웨어를 쉽게 가져다 쓸 수 있어요. 플래시가 HTML5로 대체된다? 모방범죄 및 유사범죄가 훨씬 빨리 퍼질 수도 있습니다.”
HTML5로 개편되면 상황이 악화될 가능성도 분명 존재한다는 것인데, 안타깝게도 멀버타이징 공격을 막을 수 있는 솔루션이나 정책 같은 건 존재할 수 없도록 환경이 이미 조성되어 있다. 에프시큐어(F-Secure)라는 보안업체에 따르면 “광고 산업 종사자들의 마인드가 바뀌어야 한다.” 광고 플랫폼에 대한 보안 검사, 광고주가 준 광고 파일들에 대한 철저한 보안 검열이 먼저 이루어져야 하는데, “이는 샌드박스 기술이 사용되고 있는 현재, 그다지 어려운 일이 아니”라고 한다.
또한 HTML5 광고가 플래시보다 용량이 크다는 특징이 공격 통로를 더 크게 만드는 데 일조할 수 있다는 지적도 있다. HTML5 광고가 대세가 된다면, 더 많은 용량을 소화해야 하기 때문에 대역폭을 넓혀야 하고, 이는 더 활발하고 적극적인 공격을 부추길 수 있다는 것이다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
