광고 캠페인의 부정클릭 감시 서비스를 제공하는 업체인 클릭 포렌식(Click Forensics)은 실제 검색 페이지 대신 가짜 검색 페이지로 연결시키는 바하마 봇넷이라 불리는 악성코드의 심각성과 위험성에 대해 최근 발표했다.

이 가짜 검색 페이지는 실제 페이지와 유사해 보이며 DNS 포이즈닝 공격 기법을 이용, 심지어 주소창에 google.com이나 yahoo.com 혹은 bing.com으로 표기된다.

검색 결과로 나오는 링크를 클릭하면 악성코드에 지정된 특정인에게 소개료를 지불하는 광고를 자동으로 거쳐 가도록 돼 있다. 그뿐 아니라 실제 검색 엔진에 비용을 지불하는 스폰서 링크 또한 특정 타 광고 네트워크를 거쳐 가도록 돼 있어, 결국 광고 이익의 수혜자는 악성코드에 지정된 특정인이 되도록 하고 있다.

클릭 포렌식의 위험 분석가인  맷 그라함(Matt Graham)은 "바하마 봇넷은 사기 클릭으로 돈을 벌겠다는 의도의 악의적인 해킹 공격 기법"이라며 "사람들이 검색 명령을 내릴 때 이 악성 해커들은 검색 결과 페이지 안에 광고를 숨겨 내보내는 수법을 쓰고 있다"고 말했다.

가짜 웹사이트는 실제 구글, 야후 또는 빙 사이트와 유사해 보이지만 트래픽 분석 도구를 사용해 보면 감염된 컴퓨터는 IP 주소가 64.86.17.56으로 비용을 부과시키는 서버에 접속돼 있다. 가짜 사이트는 스푸핑하고 있는 검색 엔진에서 검색 결과값을 끌어오기 때문에 이용자들은 의심하지 않게 된다.

처음 발견 당시 바하마 근원의 사용하지 않는 20만개의 도메인을 이용했기 때문에 바하마라는 이름이 붙은 이 봇넷은 사람들이 주요 이슈를 검색할 때마다 사용자를 악성 웹사이트로 보내는, 검색 엔진 최적화 기술을 자유자재로 구사하는 것으로도 유명하다.

이제 바하마 봇넷은 보안 관리가 허술한 PC를 쓰는 평범한 사용자들을 공격하는 대신에 세계 최대 검색 엔진 세 곳을 공격하고 있다. 그라함은 "조사 결과 감염된 컴퓨터 수만도 수천 대에 이른다"고 우려를 표명했다.

[호애진 기자(is@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>