구글의 표적 광고 사업과 관련된 고급 기능이 사이버 공격에 악용되고 있다는 고발이 나왔다. 공격자들은 아무 사이트나 미리 침해해 두고, 그곳의 타이틀과 콘텐츠만 살짝 바꿔 검색 결과로 뜨게 한 다음 멀웨어를 피해자에게 퍼붓는다고 한다.
[보안뉴스 문정후 기자] 취약한 웹사이트를 활용해 악성 광고를 공격 대상에게 정확히 노출시키는 새로운 방법이 발견됐다. 이를 어떻게 응용하느냐에 따라 공격자들은 피해자에게 원하는 멀웨어를 쏟아부을 수 있으며, 피해자는 아무런 저항도 하지 못하고 멀웨어들의 쓰나미에 휩쓸릴 수도 있다고 전문가들은 경고하고 있다.
[이미지 = gettyimagesbank]
이 새로운 기법에서 핵심이 되는 건 ‘동적 검색 광고(dynamic search ads)’라는 기능이다. 웹사이트의 랜딩 페이지 내 콘텐츠를 활용해 표적 광고와 검색 결과를 매칭시켜주는 기술이라고 볼 수 있다. 보안 업체 멀웨어바이츠(Malwarebytes)의 수석 첩보 책임자 제롬 세구라(Jerome Segura)는 10월 30일자 블로그 게시글을 통해 공격자들이 가짜 소프트웨어 광고와, 미리 침해해 둔 웹사이트를 활용해 이 기능을 어떤 식으로 악용하는지를 알렸다. 재미있게도 “공격자들의 최초 의도와 상관 없이 일이 벌어진 것 같다”고 세구라는 밝혔다.
동적 검색 광고와 멀버타이징
세구라는 해커들이 자주 사용하는 검색 키워드와 관련한 연구를 진행하고 있었다고 한다. “보통 공격자들은 검색하는 사람들을 낚기 위해 유명 애플리케이션들을 사칭한 가짜 광고를 만들어 노출시킵니다. 이번 캠페인에서 공격자들이 사용한 키워드는 파이참(PyCharm)이라는 파이선 프로그래밍 환경이었습니다.”
세구라가 ‘파이참’을 검색하면 그에 따른 결과들이 목록화 되어 나오는데, 그 중에는 돈을 주고 광고를 낸 사이트도 포함된다. “검색 결과로 나온 헤드라인에는 파이참이라는 문자가 포함되어 있었습니다. 제가 검색한 그대로 결과가 나온 것처럼 보였죠. 그런데 스니펫은 결혼 계획과 관련된 사이트에서 온 것처럼 보였습니다. 해당 사이트는 결혼과 관련된 콘텐츠가 가득했지만 파이선과는 아무런 관련이 없었습니다.”
세구라가 여태까지 본 악성 피싱 사이트는 사이트 및 페이지 제목과 실제 페이지 내 콘텐츠가 일치하는 경우가 거의 대부분이었다. “공격자들도 꽤나 노력을 한다는 뜻이죠. 구글 광고 계정을 침해하고, 광고 콘텐츠를 백지에서부터 생성하고, 실제 광고를 내서 자신들이 원하는 URL과 연결시키고, 가짜 사이트의 콘텐츠도 그럴 듯하게 꾸미는 모든 작업을 해야 하니까요. 그런데 이번에는 전혀 궤가 달랐어요. 파이참을 검색했는데 제목만 같고 정작 사이트 내용은 온통 결혼과 관련된 것이었으니까요. 왜 그랬을까를 고민하지 않을 수 없었습니다.”
조사를 이어간 세구라는 해당 결혼 준비 사이트가 거의 방치된 상태였고, 이미 공격자들이 침해해 스팸 콘텐츠를 생성하는 멀웨어를 가득 심어두고 있었다는 걸 알게 됐다. 공격자들은 페이지의 타이틀 부분만 파이참으로 바꿨고, 방문자들이 타이틀만 보고 들어왔을 경우 여러 가지 팝업 창을 띄웠다. 구글의 동적 광고 검색 기능이 이 결혼 관련 사이트에 있는 불법 콘텐츠에 반응해 검색 결과로 띄운 것이고, 이것이 세구라의 눈에 들어왔던 것이라고 한다.
“사이트 방문자가 팝업 창의 링크를 클릭했다면 그 때부터 멀웨어 감염이 시작됩니다. 그것도 어마어마한 양의 멀웨어들이 한꺼번에 설치되는 바람에 사실상 피해자는 장비를 쓸 수 없는 지경에 이르게 됩니다. 공격자는 최대한 많은 멀웨어를 설치함으로써 자신의 이윤을 극대화 하려 했던 것으로 추정됩니다.” 세구라의 설명이다.
중소기업 웹사이트 보안
해커들에게 있어 중소기업의 웹사이트는 꽤나 좋은 공격 도구가 된다. 일단 인터넷 상에 그러한 사이트가 무수히 많고, 중소기업 특성상 사이트 관리가 원활히 되지 않을 때가 빈번하며, 따라서 보안 구멍이 적지 않은 편이기 때문이다. “중소기업 웹사이트는 회사에서 직접 만들지 않을 때가 많습니다. 인력이 부족하거나 여력이 없어 외주를 주는 게 보통이죠. 그리고 외주 준 걸 받아다가 그냥 호스팅 서비스에 맡겨 인터넷에 열어두고 끝입니다. 그 사이트의 보안에는 크게 신경 쓰지 않죠.”
그래서 어느 정도 시간이 지나면 사이트를 구성하고 있는 각종 요소들이 점점 ‘오래된 것들’로 변한다. 업데이트가 되지 않으므로 최신 버전과 거리가 먼 것들이 된다는 것이다. “업데이트에는 보안과 관련된 것들이 많습니다. 취약점을 해결하기 위해 기업들은 패치를 배포하지요. 그런데 이 부분을 중소기업들은 신경 쓰지 못합니다. 그러니 모두가 알고 있는 취약점을 그대로 두는 겁니다. 공격자들이 이런 점을 잘 알고 있고, 그래서 호시탐탐 노립니다.”
세구라는 “인력과 예산이 부족하기 때문”이라고 중소기업들의 상황을 설명한다. “그렇기 때문에 구글에서 이런 중소기업 사이트들의 검색 결과를 좀 더 세심하게 점검하여 노출시킬 필요가 있습니다. 사용자가 뭔가를 검색했을 때, 최소한 그 검색한 것과 맞는 것들이 결과로 뜨게 해 주어야 하지요. 그래야 이번 캠페인처럼 공격자들이 최소한의 노력도 하지 않은 공격 시도에 당하지 않을 수 있습니다.”
글 : 네이트 넬슨(Nate Nelson), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 취약한 웹사이트를 활용해 악성 광고를 공격 대상에게 정확히 노출시키는 새로운 방법이 발견됐다. 이를 어떻게 응용하느냐에 따라 공격자들은 피해자에게 원하는 멀웨어를 쏟아부을 수 있으며, 피해자는 아무런 저항도 하지 못하고 멀웨어들의 쓰나미에 휩쓸릴 수도 있다고 전문가들은 경고하고 있다.
[이미지 = gettyimagesbank]
이 새로운 기법에서 핵심이 되는 건 ‘동적 검색 광고(dynamic search ads)’라는 기능이다. 웹사이트의 랜딩 페이지 내 콘텐츠를 활용해 표적 광고와 검색 결과를 매칭시켜주는 기술이라고 볼 수 있다. 보안 업체 멀웨어바이츠(Malwarebytes)의 수석 첩보 책임자 제롬 세구라(Jerome Segura)는 10월 30일자 블로그 게시글을 통해 공격자들이 가짜 소프트웨어 광고와, 미리 침해해 둔 웹사이트를 활용해 이 기능을 어떤 식으로 악용하는지를 알렸다. 재미있게도 “공격자들의 최초 의도와 상관 없이 일이 벌어진 것 같다”고 세구라는 밝혔다.
동적 검색 광고와 멀버타이징
세구라는 해커들이 자주 사용하는 검색 키워드와 관련한 연구를 진행하고 있었다고 한다. “보통 공격자들은 검색하는 사람들을 낚기 위해 유명 애플리케이션들을 사칭한 가짜 광고를 만들어 노출시킵니다. 이번 캠페인에서 공격자들이 사용한 키워드는 파이참(PyCharm)이라는 파이선 프로그래밍 환경이었습니다.”
세구라가 ‘파이참’을 검색하면 그에 따른 결과들이 목록화 되어 나오는데, 그 중에는 돈을 주고 광고를 낸 사이트도 포함된다. “검색 결과로 나온 헤드라인에는 파이참이라는 문자가 포함되어 있었습니다. 제가 검색한 그대로 결과가 나온 것처럼 보였죠. 그런데 스니펫은 결혼 계획과 관련된 사이트에서 온 것처럼 보였습니다. 해당 사이트는 결혼과 관련된 콘텐츠가 가득했지만 파이선과는 아무런 관련이 없었습니다.”
세구라가 여태까지 본 악성 피싱 사이트는 사이트 및 페이지 제목과 실제 페이지 내 콘텐츠가 일치하는 경우가 거의 대부분이었다. “공격자들도 꽤나 노력을 한다는 뜻이죠. 구글 광고 계정을 침해하고, 광고 콘텐츠를 백지에서부터 생성하고, 실제 광고를 내서 자신들이 원하는 URL과 연결시키고, 가짜 사이트의 콘텐츠도 그럴 듯하게 꾸미는 모든 작업을 해야 하니까요. 그런데 이번에는 전혀 궤가 달랐어요. 파이참을 검색했는데 제목만 같고 정작 사이트 내용은 온통 결혼과 관련된 것이었으니까요. 왜 그랬을까를 고민하지 않을 수 없었습니다.”
조사를 이어간 세구라는 해당 결혼 준비 사이트가 거의 방치된 상태였고, 이미 공격자들이 침해해 스팸 콘텐츠를 생성하는 멀웨어를 가득 심어두고 있었다는 걸 알게 됐다. 공격자들은 페이지의 타이틀 부분만 파이참으로 바꿨고, 방문자들이 타이틀만 보고 들어왔을 경우 여러 가지 팝업 창을 띄웠다. 구글의 동적 광고 검색 기능이 이 결혼 관련 사이트에 있는 불법 콘텐츠에 반응해 검색 결과로 띄운 것이고, 이것이 세구라의 눈에 들어왔던 것이라고 한다.
“사이트 방문자가 팝업 창의 링크를 클릭했다면 그 때부터 멀웨어 감염이 시작됩니다. 그것도 어마어마한 양의 멀웨어들이 한꺼번에 설치되는 바람에 사실상 피해자는 장비를 쓸 수 없는 지경에 이르게 됩니다. 공격자는 최대한 많은 멀웨어를 설치함으로써 자신의 이윤을 극대화 하려 했던 것으로 추정됩니다.” 세구라의 설명이다.
중소기업 웹사이트 보안
해커들에게 있어 중소기업의 웹사이트는 꽤나 좋은 공격 도구가 된다. 일단 인터넷 상에 그러한 사이트가 무수히 많고, 중소기업 특성상 사이트 관리가 원활히 되지 않을 때가 빈번하며, 따라서 보안 구멍이 적지 않은 편이기 때문이다. “중소기업 웹사이트는 회사에서 직접 만들지 않을 때가 많습니다. 인력이 부족하거나 여력이 없어 외주를 주는 게 보통이죠. 그리고 외주 준 걸 받아다가 그냥 호스팅 서비스에 맡겨 인터넷에 열어두고 끝입니다. 그 사이트의 보안에는 크게 신경 쓰지 않죠.”
그래서 어느 정도 시간이 지나면 사이트를 구성하고 있는 각종 요소들이 점점 ‘오래된 것들’로 변한다. 업데이트가 되지 않으므로 최신 버전과 거리가 먼 것들이 된다는 것이다. “업데이트에는 보안과 관련된 것들이 많습니다. 취약점을 해결하기 위해 기업들은 패치를 배포하지요. 그런데 이 부분을 중소기업들은 신경 쓰지 못합니다. 그러니 모두가 알고 있는 취약점을 그대로 두는 겁니다. 공격자들이 이런 점을 잘 알고 있고, 그래서 호시탐탐 노립니다.”
세구라는 “인력과 예산이 부족하기 때문”이라고 중소기업들의 상황을 설명한다. “그렇기 때문에 구글에서 이런 중소기업 사이트들의 검색 결과를 좀 더 세심하게 점검하여 노출시킬 필요가 있습니다. 사용자가 뭔가를 검색했을 때, 최소한 그 검색한 것과 맞는 것들이 결과로 뜨게 해 주어야 하지요. 그래야 이번 캠페인처럼 공격자들이 최소한의 노력도 하지 않은 공격 시도에 당하지 않을 수 있습니다.”
글 : 네이트 넬슨(Nate Nelson), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
