.gif)
광고 블록 어떻게 막을 것인가?... 멀버타이징 제거부터
사용자들이 광고 보게 하려면 안전부터 보장해 주어야
[보안뉴스 문가용 기자] 애드블록 플러스(AdBlock Plus)가 새로운 플랫폼인 액셉터블 애즈 플랫폼(Acceptable Ads Platform)을 선보였다. 이는 온라인 광고에 관한 규제나 정책이 산으로 가고 있다는 것을 방증한다. 사람들이 광고를 블록하는 데에는 이유가 있다. 그래서 애드블록 같은 솔루션이 필요하다. 하지만 애드블록 플러스가 한 일은 사람들의 이런 필요와 보안을 희생시키고 자기들이 생각하는 광고의 가이드라인을 강제시키려는 것이다.
온라인 광고 시장에서 사실상 가장 큰 영향력을 발휘하고 있는 구글은 최근 미디어 및 광고 산업의 거인들과 힘을 합해 새로운 글로벌 광고 표준을 만들어, 나쁜 광고를 모조리 블록하는 소비자들의 대처법에 대한 대안을 마련하고자 하고 있다. 물론 소비자로서 광고 없는 쾌적한 인터넷 환경을 원하지만, 그게 없으면 인터넷 경제가 안 돌아가는 걸 어떡하나. 구글과 몇몇 회사들의 저런 노력은 그래서 수긍이 간다. 다만 이 논의에 멀버타이징에 대한 내용이 빠져있다는 게 매우 아쉽다.
예전 멀버타이징 사건들을 잠시 떠올려보자. 유명 잡지인 포브스의 웹 사이트에 멀버타이징 공격이 일어나 많은 독자들이 피해를 본 것이 바로 올해 초의 일이다. 그 사이트의 브랜드가 얼마나 유명하든, 얼마나 주류에 있든 멀버타이징은 가리지 않았다. 이런 상황에서 ‘온라인 생태계 유지를 위해 광고 블록을 해제해주세요’라고 호소해봤자 소용도 없을뿐더러, 무책임한 짓이다. 가이드라인을 멋대로 정하고 수많은 인터넷 인구가 그걸 다 지키리라고 기대하는 것도 어이없는 일이다.
그렇다면 광고 생태계도 지키면서 소비자들을 악성 광고로부터 보호할 수 있는 수단이란 무엇일까? 먼저 지금 이 시점의 멀버타이징에 대해서 알아보도록 하자. 멀버타이징의 제일 큰 특징은 랜섬웨어의 유행과 맞물려 있다는 것이다. 한 마디로 랜섬웨어의 한 변형 공격으로서 멀버타이징 기법이 활용되고 있다고 볼 수 있는데, 이는 광고 서버 네트워크에 기계 대 기계의 실시간 비딩 시스템이 도입되고, 여기에 온라인 광고 대부분이 어도비 플래시로 제작됨에 따라 취약점이 마구 발생했기 때문이다. 사람의 검사가 거의 없는 시스템에 원래부터 취약점 덩어리인 플래시의 결합은 악성 행위자들의 둥지가 될 수밖에 없었고, 그걸 랜섬웨어가 누리고 있다고 봐도 된다.
또한 플래시를 활용한 리치 미디어 광고가 유행하면서 사용자가 특별한 행동을 취하지 않아도 공격이 발동된다는 것도 멀버타이징의 특징이다. 범죄자들 사이에서 가장 인기가 높은 건 동영상 형태의 광고로, 영상 관련 콘텐츠를 구현할 때 필요한 코드 구조가 워낙 복잡해 멀웨어를 잡아내기가 힘들기 때문이다. 원래 동영상 콘텐츠는 VAST가 표준이었고 이는 XML을 기반으로 하기 때문에 자바스크립트를 사용할 수가 없었다. 그러나 새로운 포맷인 VPAID가 등장했고, 이로써 시청자들은 스크립트 주입 및 다른 플래시 취약점에 노출되었다. 그러면 정적인 광고로 바꾸면 되지 않겠냐고 물을 수 있지만, 그건 답이 아니다. 지난 7월말 보안 전문 업체인 프루프포인트(Proofpoint)가 조사한 바 이미지의 메타데이터에 자바스크립트 코드가 삽입된 멀버타이징 공격이 발견되었던 것이다.
멀웨어 제작자들이 보안 분석가들을 피하기 위해 가상화 여부를 미리 확인하는 기능을 멀웨어에 삽입하는 건 이미 널리 보급된 기술 중 하나다. 지난 3월 멀웨어바이츠(Malwarebytes)와 지오에지(GeoEdge)가 함께 발간한 백서를 보면 IE의 XMLDOM 액티브엑스 제어판에서도 앵글로 익스플로잇 킷(Angler Exploit Kit)이 공격할 만한 취약점들이 가득하다고 나와 있는데, 이 앵글러 익스플로잇 킷에도 보안 제품이 설치되어 있는지 먼저 살피는 기능이 들어있었다. 이 기능이 멀버타이징 공격에도 적극 활용되고 있다. 즉, 공격받을 만한 환경이 아닌 사람들에겐 멀버타이징이 그저 보통의 평범하고 무해한 광고로 보여 적발이 더욱 어렵다는 것이다.
시그니처에 기반을 둔 보안에 강하다는 특징도 있다. 특히 위에서 설명한 특징을 가진 멀버타이징의 경우 파일을 동반하지 않는 공격이 가능하다. 브라우저에서 곧바로 악성 명령을 실행하거나 시스템 메모리에만 잠깐 상주해 곧 ‘휘발’되어버릴 수 있다. 이는 평범한 백신 소프트웨어를 무용지물로 만드는 특징이다.
그렇다면 이런 멀버타이징의 특성을 염두에 두고 다시 한 번 대책을 논의해보자. 우린 멀버타이징을 막고, 온라인 광고 생태계의 붕괴를 막기 위해 뭘 더 할 수 있을까? 한 연구 자료에 의하면 보통 멀버타이징 공격이 실제로 최종 사용자에게 도달하기 위해서는 5~6개의 단계를 통과해야 한다고 한다. 그렇다는 건 막을 기회가 5~6회 있다는 뜻이다. 다만 앞서 말한 멀버타이징의 특성 중 보안장치의 존재 여부를 미리 파악하는 기능이 뛰어나 무해한 광고처럼 위장하는 경우가 많아져 미리 차단하는 게 쉽지만은 않다.
광고 비딩 시스템에 대부분 자동화되어 있기 때문에 취약하다는 점이 특징이라고 앞서 언급했다. 그렇다면 여기에 사람이 좀더 엄격하게 관여해도 되지 않을까? 그러나 수백만 분의 1초만에 광고를 골라서 웹 페이지에 노출시켜야 하는 광고의 기술적인 구조 상 사람이 일일이 붙는 것은 불가능하다. 다행히 실시간 광고 확인 솔루션들이 속속 등장하고 있어서 멀버타이징의 일부 정도는 걷어낼 수 있다는 희망이 생기고 있다.
또 광고를 게재하는 퍼블리셔들에게도 독특한 영향권이 있다. 이들이 광고 서버들에 보다 높은 보안 수준을 요구할 수 있기 때문이다. 광고 서버들을 화이트리스팅하거나 블랙리스팅 해서 보안이 좋은 서버만 골라서 거래를 진행할 수 있다. 퍼블리셔가 개인이라면, 방문자들에게 애드블록을 해지해도 괜찮은 이유를 설명해줄 수 있어야 한다. 어떤 조사를 진행했고, 그 결과 어떤 광고 서버들이 안전했으며, 그래서 그런 서버들에서만 광고를 받고 있다고 설득하는 것이다. 즉, ‘광고를 좀 봐줘’라고 말하려면 ‘왜냐하면 안전하니까’라고 안심을 시킬 수 있어야 한다.
브라우저 제조사들이 플래시 광고를 금지시키는 것 또한 괜찮은 방법이다. 현재 다크웹에서 활동하는 사이버 범죄자들이나 멀버타이징 공격 뒤에 숨어 있는 악성 행위자들이 가장 애용하는 취약점이 바로 어도비 플래시의 취약점들이다. 브라우저 단계에서 플래시 사용을 막아버리면(물론 옵션으로서 활성화하는 게 아직은 가능하지만) 이런 범죄자들의 수법 중 상당 부분이 폐기처리 된다. 그렇지 않더라도 최소한 공격의 효율을 크게 떨어트릴 수 있다.
전 세계적인 온라인 광고 표준을 만든다는 발상 자체는 매우 긍정적이다. 개인적으로도 의미 있는 한 발짝의 전진이라고 보인다. 다만 이 표준 설립의 목적이 ‘사용자들에게 광고를 더 노출시키기 위한’ 것이 아니기를 바란다. 사용자들을 멀버타이징 등의 위협에서부터 지켜내면 사용자들은 알아서 광고를 활성화시키기 시작할 것이다. 현재 온라인 광고 생태계는 사용자에게 있어 지뢰밭과 다름없다는 걸 기억하자. 그 어떤 화려한 유혹에도 지뢰밭을 건너가고자 하는 사람은 거의 없다.
글 : 케이잉 푸(Kaiying Fu)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
사용자들이 광고 보게 하려면 안전부터 보장해 주어야
[보안뉴스 문가용 기자] 애드블록 플러스(AdBlock Plus)가 새로운 플랫폼인 액셉터블 애즈 플랫폼(Acceptable Ads Platform)을 선보였다. 이는 온라인 광고에 관한 규제나 정책이 산으로 가고 있다는 것을 방증한다. 사람들이 광고를 블록하는 데에는 이유가 있다. 그래서 애드블록 같은 솔루션이 필요하다. 하지만 애드블록 플러스가 한 일은 사람들의 이런 필요와 보안을 희생시키고 자기들이 생각하는 광고의 가이드라인을 강제시키려는 것이다.
온라인 광고 시장에서 사실상 가장 큰 영향력을 발휘하고 있는 구글은 최근 미디어 및 광고 산업의 거인들과 힘을 합해 새로운 글로벌 광고 표준을 만들어, 나쁜 광고를 모조리 블록하는 소비자들의 대처법에 대한 대안을 마련하고자 하고 있다. 물론 소비자로서 광고 없는 쾌적한 인터넷 환경을 원하지만, 그게 없으면 인터넷 경제가 안 돌아가는 걸 어떡하나. 구글과 몇몇 회사들의 저런 노력은 그래서 수긍이 간다. 다만 이 논의에 멀버타이징에 대한 내용이 빠져있다는 게 매우 아쉽다.
예전 멀버타이징 사건들을 잠시 떠올려보자. 유명 잡지인 포브스의 웹 사이트에 멀버타이징 공격이 일어나 많은 독자들이 피해를 본 것이 바로 올해 초의 일이다. 그 사이트의 브랜드가 얼마나 유명하든, 얼마나 주류에 있든 멀버타이징은 가리지 않았다. 이런 상황에서 ‘온라인 생태계 유지를 위해 광고 블록을 해제해주세요’라고 호소해봤자 소용도 없을뿐더러, 무책임한 짓이다. 가이드라인을 멋대로 정하고 수많은 인터넷 인구가 그걸 다 지키리라고 기대하는 것도 어이없는 일이다.
그렇다면 광고 생태계도 지키면서 소비자들을 악성 광고로부터 보호할 수 있는 수단이란 무엇일까? 먼저 지금 이 시점의 멀버타이징에 대해서 알아보도록 하자. 멀버타이징의 제일 큰 특징은 랜섬웨어의 유행과 맞물려 있다는 것이다. 한 마디로 랜섬웨어의 한 변형 공격으로서 멀버타이징 기법이 활용되고 있다고 볼 수 있는데, 이는 광고 서버 네트워크에 기계 대 기계의 실시간 비딩 시스템이 도입되고, 여기에 온라인 광고 대부분이 어도비 플래시로 제작됨에 따라 취약점이 마구 발생했기 때문이다. 사람의 검사가 거의 없는 시스템에 원래부터 취약점 덩어리인 플래시의 결합은 악성 행위자들의 둥지가 될 수밖에 없었고, 그걸 랜섬웨어가 누리고 있다고 봐도 된다.
또한 플래시를 활용한 리치 미디어 광고가 유행하면서 사용자가 특별한 행동을 취하지 않아도 공격이 발동된다는 것도 멀버타이징의 특징이다. 범죄자들 사이에서 가장 인기가 높은 건 동영상 형태의 광고로, 영상 관련 콘텐츠를 구현할 때 필요한 코드 구조가 워낙 복잡해 멀웨어를 잡아내기가 힘들기 때문이다. 원래 동영상 콘텐츠는 VAST가 표준이었고 이는 XML을 기반으로 하기 때문에 자바스크립트를 사용할 수가 없었다. 그러나 새로운 포맷인 VPAID가 등장했고, 이로써 시청자들은 스크립트 주입 및 다른 플래시 취약점에 노출되었다. 그러면 정적인 광고로 바꾸면 되지 않겠냐고 물을 수 있지만, 그건 답이 아니다. 지난 7월말 보안 전문 업체인 프루프포인트(Proofpoint)가 조사한 바 이미지의 메타데이터에 자바스크립트 코드가 삽입된 멀버타이징 공격이 발견되었던 것이다.
멀웨어 제작자들이 보안 분석가들을 피하기 위해 가상화 여부를 미리 확인하는 기능을 멀웨어에 삽입하는 건 이미 널리 보급된 기술 중 하나다. 지난 3월 멀웨어바이츠(Malwarebytes)와 지오에지(GeoEdge)가 함께 발간한 백서를 보면 IE의 XMLDOM 액티브엑스 제어판에서도 앵글로 익스플로잇 킷(Angler Exploit Kit)이 공격할 만한 취약점들이 가득하다고 나와 있는데, 이 앵글러 익스플로잇 킷에도 보안 제품이 설치되어 있는지 먼저 살피는 기능이 들어있었다. 이 기능이 멀버타이징 공격에도 적극 활용되고 있다. 즉, 공격받을 만한 환경이 아닌 사람들에겐 멀버타이징이 그저 보통의 평범하고 무해한 광고로 보여 적발이 더욱 어렵다는 것이다.
시그니처에 기반을 둔 보안에 강하다는 특징도 있다. 특히 위에서 설명한 특징을 가진 멀버타이징의 경우 파일을 동반하지 않는 공격이 가능하다. 브라우저에서 곧바로 악성 명령을 실행하거나 시스템 메모리에만 잠깐 상주해 곧 ‘휘발’되어버릴 수 있다. 이는 평범한 백신 소프트웨어를 무용지물로 만드는 특징이다.
그렇다면 이런 멀버타이징의 특성을 염두에 두고 다시 한 번 대책을 논의해보자. 우린 멀버타이징을 막고, 온라인 광고 생태계의 붕괴를 막기 위해 뭘 더 할 수 있을까? 한 연구 자료에 의하면 보통 멀버타이징 공격이 실제로 최종 사용자에게 도달하기 위해서는 5~6개의 단계를 통과해야 한다고 한다. 그렇다는 건 막을 기회가 5~6회 있다는 뜻이다. 다만 앞서 말한 멀버타이징의 특성 중 보안장치의 존재 여부를 미리 파악하는 기능이 뛰어나 무해한 광고처럼 위장하는 경우가 많아져 미리 차단하는 게 쉽지만은 않다.
광고 비딩 시스템에 대부분 자동화되어 있기 때문에 취약하다는 점이 특징이라고 앞서 언급했다. 그렇다면 여기에 사람이 좀더 엄격하게 관여해도 되지 않을까? 그러나 수백만 분의 1초만에 광고를 골라서 웹 페이지에 노출시켜야 하는 광고의 기술적인 구조 상 사람이 일일이 붙는 것은 불가능하다. 다행히 실시간 광고 확인 솔루션들이 속속 등장하고 있어서 멀버타이징의 일부 정도는 걷어낼 수 있다는 희망이 생기고 있다.
또 광고를 게재하는 퍼블리셔들에게도 독특한 영향권이 있다. 이들이 광고 서버들에 보다 높은 보안 수준을 요구할 수 있기 때문이다. 광고 서버들을 화이트리스팅하거나 블랙리스팅 해서 보안이 좋은 서버만 골라서 거래를 진행할 수 있다. 퍼블리셔가 개인이라면, 방문자들에게 애드블록을 해지해도 괜찮은 이유를 설명해줄 수 있어야 한다. 어떤 조사를 진행했고, 그 결과 어떤 광고 서버들이 안전했으며, 그래서 그런 서버들에서만 광고를 받고 있다고 설득하는 것이다. 즉, ‘광고를 좀 봐줘’라고 말하려면 ‘왜냐하면 안전하니까’라고 안심을 시킬 수 있어야 한다.
브라우저 제조사들이 플래시 광고를 금지시키는 것 또한 괜찮은 방법이다. 현재 다크웹에서 활동하는 사이버 범죄자들이나 멀버타이징 공격 뒤에 숨어 있는 악성 행위자들이 가장 애용하는 취약점이 바로 어도비 플래시의 취약점들이다. 브라우저 단계에서 플래시 사용을 막아버리면(물론 옵션으로서 활성화하는 게 아직은 가능하지만) 이런 범죄자들의 수법 중 상당 부분이 폐기처리 된다. 그렇지 않더라도 최소한 공격의 효율을 크게 떨어트릴 수 있다.
전 세계적인 온라인 광고 표준을 만든다는 발상 자체는 매우 긍정적이다. 개인적으로도 의미 있는 한 발짝의 전진이라고 보인다. 다만 이 표준 설립의 목적이 ‘사용자들에게 광고를 더 노출시키기 위한’ 것이 아니기를 바란다. 사용자들을 멀버타이징 등의 위협에서부터 지켜내면 사용자들은 알아서 광고를 활성화시키기 시작할 것이다. 현재 온라인 광고 생태계는 사용자에게 있어 지뢰밭과 다름없다는 걸 기억하자. 그 어떤 화려한 유혹에도 지뢰밭을 건너가고자 하는 사람은 거의 없다.
글 : 케이잉 푸(Kaiying Fu)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
