크롬 웹 스토어에서 발견된, 진짜와 똑같은 가짜 광고 차단기
한 달에 수백만~수천만 달러 피해 일으키는 것으로 추정돼
[보안뉴스 문가용 기자] 구글이 크롬 웹 스토어(Chrome Web Store)에서 두 개의 악성 애드 블로커를 삭제했다. 광고를 차단해야 하는 앱이, 오히려 광고 사기에 활용되고 있었기 때문이다. 적잖은 크롬 사용자들이 이 앱에 속은 것으로 나타났다.
[이미지 = iclickart]
이러한 현상을 발견한 건 정상 애드 블로커 개발사인 애드가드(AdGuard)의 전문가인 안드레이 메시코브(Andrey Meshkov)다. 시장 조사 겸 경쟁 제품 분석을 하다가 애드블록(AdBlock)이라는 앱과 유블록(uBlock)이라는 앱에서 수상한 점을 발견했다고 한다.
“이 두 가지 앱의 경우 웹사이트들을 통해 노출되는 광고를 차단하는 게 아니라, ‘쿠키 스터핑(cookie stuffing)’이라는 공격을 실행하는 기능을 가지고 있었습니다.” 메시코브의 설명이다. “쿠키 스터핑이란, 인터넷 초창기 때부터 사용되어온 기법으로, 웹사이트나 브라우저 플러그인이 사용자의 쿠키에 추가 정보를 덧붙임으로써 방문자 수가 훨씬 많아보이게 부풀리는 기술입니다. 보통 광고를 통해 더 많은 돈을 뜯어내는 걸 목적으로 활용되죠.”
메시코브는 “배후의 공격자들은 애드 블로커로 자신들의 앱을 위장해 더 많은 사용자들이 설치하도록 유도하고, 기하급수적으로 쿠키를 늘림으로써 꽤나 많은 광고 수익을 부당하게 올렸을 것으로 보인다”고 덧붙였다.
이 공격이 특히나 지독한 건, 일반 사용자들이 정상 애드 블로커와 가짜 애드 블로커를 구분하기가 꽤나 어렵다는 것이다. 즉, 이런 식의 공격이 있다는 걸 보안 매체를 통해 사용자들에게 알린다고 하더라도, 공격에 당할 확률이 크게 낮아지지 않는다는 뜻이다.
문제의 앱은 다음과 같은 특징을 가지고 있다.
1) AdBlock – AdBlock Inc.에서 만들었다. 똑같은 이름의 ‘정상 애드 블로커’는 getadblock에서 개발했다
2) uBlock – Charlie Lee가 만들었다. 똑같은 이름의 ‘정상 애드 블로커’는 uBlock.org나 Raymond Hill이 만들었다(후자의 경우 앱의 이름은 uBlock Origin이다).
“심지어 이 가짜 광고 차단기들이 실제로 어느 정도는 광고를 차단합니다. 왜냐하면 둘 다 원래의 애드블록(AdBlock)과 유블록(uBlock)의 코드를 바탕으로 하고 있거든요. 따라서 가짜라고 해도 어느 정도 성능을 발휘합니다. 악성 기능만 없다면 나쁘지 않은 앱입니다.”
이 앱이 뭔가 이상하다는 힌트는 55시간 이후부터 나타난다. “그때부터는 앱이 기존 애드 블로커들과는 조금 다른 행동 패턴을 보입니다. 팀뷰어(TeamViewer) 등 다른 프로그램들로부터 쿠키를 납치하기 시작하는 것이죠. 악성 애드 블로커를 설치한 피해자가 Teamviewer.com에서 뭔가를 구매하면, 공격자가 일부 커미션을 받게 되어 있습니다.”
애드블록과 유블록이 쿠키를 훔치는 사이트 중에는 Microsoft.com, Linkedin.com, Aliexpress.com, Booking.com도 있었다.
“공격의 스케일은 이례적으로 광범위합니다. 이 두 개의 악성 프로그램은 총 합해서 매주 160만 명이 사용하고 있거든요. 이 사용자들은 300개의 웹사이트들로부터 각종 쿠키 스터핑 공격을 받았습니다. 이 300개 웹사이트는 알렉사 선정 전 세계 최고 1만 사이트에 포함되어 있는 것이기도 하고요. 아직 정확한 피해 규모를 산출하기는 힘듭니다만, 한 달에 수백만~수천만 달러의 정도라고 예상하고 있습니다.”
가짜 애드 블로커가 크롬 스토어에 나타난 건 이번이 처음이 아니다. 2년 전 구글은 애드블록 플러스(AdBlock Plus)라는 가짜 크롬 플러그인을 크롬 스토어에서 삭제한 바 있다.
3줄 요약
1. 크롬 웹 스토어에서 가짜 광고 차단기 나타남.
2. 유명 애드 블로커들과 이름도 비슷해 속기 쉬움. 심지어 기능도 비슷.
3. 쿠키 스터핑으로 웹사이트 방문자 뻥튀기하는 기능 가지고 있음.
[국제부 문가용 기자(globoan@boannews.com)]
한 달에 수백만~수천만 달러 피해 일으키는 것으로 추정돼
[보안뉴스 문가용 기자] 구글이 크롬 웹 스토어(Chrome Web Store)에서 두 개의 악성 애드 블로커를 삭제했다. 광고를 차단해야 하는 앱이, 오히려 광고 사기에 활용되고 있었기 때문이다. 적잖은 크롬 사용자들이 이 앱에 속은 것으로 나타났다.
[이미지 = iclickart]
이러한 현상을 발견한 건 정상 애드 블로커 개발사인 애드가드(AdGuard)의 전문가인 안드레이 메시코브(Andrey Meshkov)다. 시장 조사 겸 경쟁 제품 분석을 하다가 애드블록(AdBlock)이라는 앱과 유블록(uBlock)이라는 앱에서 수상한 점을 발견했다고 한다.
“이 두 가지 앱의 경우 웹사이트들을 통해 노출되는 광고를 차단하는 게 아니라, ‘쿠키 스터핑(cookie stuffing)’이라는 공격을 실행하는 기능을 가지고 있었습니다.” 메시코브의 설명이다. “쿠키 스터핑이란, 인터넷 초창기 때부터 사용되어온 기법으로, 웹사이트나 브라우저 플러그인이 사용자의 쿠키에 추가 정보를 덧붙임으로써 방문자 수가 훨씬 많아보이게 부풀리는 기술입니다. 보통 광고를 통해 더 많은 돈을 뜯어내는 걸 목적으로 활용되죠.”
메시코브는 “배후의 공격자들은 애드 블로커로 자신들의 앱을 위장해 더 많은 사용자들이 설치하도록 유도하고, 기하급수적으로 쿠키를 늘림으로써 꽤나 많은 광고 수익을 부당하게 올렸을 것으로 보인다”고 덧붙였다.
이 공격이 특히나 지독한 건, 일반 사용자들이 정상 애드 블로커와 가짜 애드 블로커를 구분하기가 꽤나 어렵다는 것이다. 즉, 이런 식의 공격이 있다는 걸 보안 매체를 통해 사용자들에게 알린다고 하더라도, 공격에 당할 확률이 크게 낮아지지 않는다는 뜻이다.
문제의 앱은 다음과 같은 특징을 가지고 있다.
1) AdBlock – AdBlock Inc.에서 만들었다. 똑같은 이름의 ‘정상 애드 블로커’는 getadblock에서 개발했다
2) uBlock – Charlie Lee가 만들었다. 똑같은 이름의 ‘정상 애드 블로커’는 uBlock.org나 Raymond Hill이 만들었다(후자의 경우 앱의 이름은 uBlock Origin이다).
“심지어 이 가짜 광고 차단기들이 실제로 어느 정도는 광고를 차단합니다. 왜냐하면 둘 다 원래의 애드블록(AdBlock)과 유블록(uBlock)의 코드를 바탕으로 하고 있거든요. 따라서 가짜라고 해도 어느 정도 성능을 발휘합니다. 악성 기능만 없다면 나쁘지 않은 앱입니다.”
이 앱이 뭔가 이상하다는 힌트는 55시간 이후부터 나타난다. “그때부터는 앱이 기존 애드 블로커들과는 조금 다른 행동 패턴을 보입니다. 팀뷰어(TeamViewer) 등 다른 프로그램들로부터 쿠키를 납치하기 시작하는 것이죠. 악성 애드 블로커를 설치한 피해자가 Teamviewer.com에서 뭔가를 구매하면, 공격자가 일부 커미션을 받게 되어 있습니다.”
애드블록과 유블록이 쿠키를 훔치는 사이트 중에는 Microsoft.com, Linkedin.com, Aliexpress.com, Booking.com도 있었다.
“공격의 스케일은 이례적으로 광범위합니다. 이 두 개의 악성 프로그램은 총 합해서 매주 160만 명이 사용하고 있거든요. 이 사용자들은 300개의 웹사이트들로부터 각종 쿠키 스터핑 공격을 받았습니다. 이 300개 웹사이트는 알렉사 선정 전 세계 최고 1만 사이트에 포함되어 있는 것이기도 하고요. 아직 정확한 피해 규모를 산출하기는 힘듭니다만, 한 달에 수백만~수천만 달러의 정도라고 예상하고 있습니다.”
가짜 애드 블로커가 크롬 스토어에 나타난 건 이번이 처음이 아니다. 2년 전 구글은 애드블록 플러스(AdBlock Plus)라는 가짜 크롬 플러그인을 크롬 스토어에서 삭제한 바 있다.
3줄 요약
1. 크롬 웹 스토어에서 가짜 광고 차단기 나타남.
2. 유명 애드 블로커들과 이름도 비슷해 속기 쉬움. 심지어 기능도 비슷.
3. 쿠키 스터핑으로 웹사이트 방문자 뻥튀기하는 기능 가지고 있음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
