자체 봇 개발로 기계 트래픽을 사람 트래픽인 것처럼 위장
사람 트래픽으로 광고 노출도 높여 광고 회사로부터 부당한 대가 받아


[보안뉴스 문가용 기자] 러시아의 사이버 범죄자들이 대규모로 온라인 광고 사기 캠페인을 진행한 사실이 드러났다. 허핑턴포스트, 포춘, ESPN, CBS 스포츠, 폭스 뉴스 등 미국 메이저 뉴스 매체인 것처럼 위장해 많게는 하루에 5백만 달러까지도 미국의 대형 광고주들로부터 뜯어냈다고 한다. 이 사실은 보안 전문업체인 화이트옵스(White Ops)가 밝혀냈다.

화이트옵스에 의하면 이번에 발견된 메스봇(Methbot) 작전은 사상 최대의 온라인 광고 관련 사기 행각으로, 1) 하루에 3백만~5백만 달러를 벌어들였고, 2) 이미 3년 간 발각되지 않은 채 진행돼 왔으며, 3) 러시아의 AFK13이라는 단체가 배후에 있다. 과거에 있었던 광고 사기 수법과 메스봇 작전의 차이점은 1) AFK13 내부에서 자체적인 봇넷 인프라를 구성하고 있고, 2) 클릭 사기를 자동화로 진행했기 때문에 애꿎은 사용자를 감염시키고, 그 감염시킨 소비자의 시스템으로부터 범죄 행위를 저지를 필요가 없었다는 것이다.

미국 대형 광고주들은 지난 10월 한 달에만 1천 7백 7십만 달러를 메스봇에 ‘헌납’했고, AFK13은 이 중 약 1천 6십만 달러를 실질적으로 챙겨갔다고 화이트옵스는 설명했다. AFK13은 러시아를 근거지로 두고 있긴 하지만 미국 댈러스와 네덜란드 암스테르담에도 데이터센터를 두고 봇넷을 운영하고 있어 블랙리스트를 피해갈 수 있다. 또한 AFK13은 자체적으로 웹 브라우저를 개발해 HTTP 라이브러리와 자신들의 흔적을 효과적으로 감출 수 있다고 한다.

화이트옵스의 COO인 에디 슈와츠(Eddie Schwartz)는 메스봇에 대해 “역사상 가장 큰 규모의 광고 사기”라며 “브라우저까지도 직접 만들 정도로 온라인 사기 전 과정을 혼자서 주도하다시피 했기 때문에 수익 대부분을 거의 그대로 가져가는 특이한 구조”라고 설명했다. “메스봇의 원리는 간단합니다. 광고 노출을 속이는 거죠. 기계가 광고 클릭을 하고 광고 영상을 보도록 만들면서, 겉으로는 사람이 클릭하고 영상을 본 것처럼 꾸민 겁니다.”

이 메스봇을 사용했을 때 광고 노출도(클릭 수 및 뷰 수)는 어마어마한 숫자로 집계된다. 하루에 3억 건은 보통이다. “이 숫자를 가지고 광고 회사에 비용을 청구하니, 광고 회사는 돈을 낼 수밖에 없죠. 사실 광고를 본 건 전부 기계였는데 말이죠.”

메스봇을 운영한 러시아의 사이버 갱단은 지난 3년 동안 탐지에 걸리지 않기 위해 정보보안 솔루션들을 꾸준히 연구한 것 같다고 화이트옵스는 분석한다. 이는 또한 자신들이 광고 회사에 제출하는 광고 노출 통계수치가 진짜인 것처럼 보이게 하는 데에 꼭 필요한 작업이었다. “광고 사기 장치들을 리버스엔지니어링 하고 사기 여부 확인 데이터들을 스푸핑하는 등 여러 방법을 동원한 것으로 보입니다.”

게다가 마우스 커서를 사람처럼 움직이게 해주는 봇과 사람이 쓸법한 ID와 암호를 가지고 소셜 미디어에 로그인하게 해주는 봇을 개발 및 사용해 진짜 사람이 활동하는 것처럼 속이기도 했다. 슈와츠는 “사람처럼 보이게 하는 데에 얼마나 공을 들였던지, 여기서의 트래픽은 정말 일반 소비자들인 것처럼 보인다”고 설명한다.

그러나 이 거대 광고 사기극은 AFK13 자체의 HTTP 라이브러리에 있었던 버그 때문에 만천하에 드러났다. “AFK13은 자체 HTTP 라이브러리를 사용하고 있습니다. 아무래도 라이브러리 전문가가 아니다 보니 버그가 많죠. 이 버그가 결국 이번에 경보를 발동시킨 겁니다.” 하지만 화이트옵스는 아직 정확히 어떤 광고 회사가 메스봇의 사기에 당했는지는 공개하지 않고 있다. “다만 해당 기업들은 사법기관들과 수사를 진행 중에 있습니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>