멀버타이징 이용한 해커들, 광고 칸 합법적으로 구매

악성 광고만 아니면 합법적인 사이트라 블로킹 처리도 어려워

[보안뉴스 문가용] 사이버 범죄단들의 광고 네트워킹 악용 사례가 점점 늘어나고 있다. 이른바 멀버타이징(malware + advertizing)이 익스플로잇 배포의 가장 주요한 수단으로 떠오르고 있는 것이다. “저희가 조사한 바에 의하면 광고 네트워크로 현재의 익스플로잇 킷을 활성화시키거나 심지어 대체하는 것도 가능합니다.”

브로미움(Bromium)의 연구원들은 “특히 플래시를 이용한 광고에 이런 경우가 많습니다”라며 “허술한 보안 정책, 상상 이상의 파급력, 강력한 스크립팅 능력 등이 전부 합쳐져 있기 때문에 멀웨어 배포에 아주 효과적인 툴이 되어버린 것”이라고 분석했다.

브로미움의 수석연구원인 라훌 카시옙(Rahul Kashyap)은 보안전문가들이 매일 같이 신경써서 다루기 특별히 어려운 이유를 “보통은 ‘악성 코드’나 ‘해커’와는 거리가 먼 웹 사이트나 브랜드의 임베디드 광고 네트워크를 활용하는 것이기 때문”이라고 밝혔다. 멀버타이징 행위만 빼면 인증된 ‘멀쩡한’ 사이트이기 때문에 감시 범위 안에 들어있지 않기도 하거니와 애초에 그런 식으로 ‘일부만 악성인’ 사이트를 블로킹하는 기술력은 존재하지 않기 때문이다.

“유튜브를 어떤 식으로 블랙리스트 해야 할까요? CNN 뉴스 사이트는요? 이건 기술력보다 더 근원에 있는 문제인 듯도 합니다. 해커들은 광고칸을 실제로 돈을 주고 사서 그 공간에 대한 합법적인 권한도 가지고 있습니다. 그러니 그들 입장에선 더더욱 이득을 봐야 하는 상황인 것이죠. 멀버타이징, 멀버타이징 하는데, 이게 쉽게 해결할 수 있는 문제가 아닙니다.”

멀버타이징에 대한 연구는 이런 ‘해결이 어렵다’는 브로미움의 결과가 가장 최신 것으로 아직 해결의 기미조차 보이지 않는 게 사실이다.

한편 시스코는 이번 달 초 카일과 스탠(Kyle and Stan)이라는 멀버타이징 네트워크에 대한 보고서를 발표한 바 있다. 시스코의 연구원들은 처음 이 네트워크의 크기를 아마존, 야휴, 유튜브 등 대형 사이트를 포함한 70개의 도메인에서 활동할 정도로 가늠했는데 파고들다보니 그보다 약 9배는 더 큰 규모를 가지고 있었다고 보고서를 통해 전달했다. “저희가 처음 본 것은 빙산의 일각이었던 것 뿐이죠.” 시스코의 위협 분석가인 알민 펠크만(Armin Pelkmann)이 발표 당시에 했던 말이다.

이번 주초엔 인빈시아(Invincea)에서 대형 온라인 상거래 포럼인 트레이드투윈(Trade2win)과 글렌 벡(Glenn Beck)이란 인물이 주인장으로 있는 보수 사이트인 더블레이즈(TheBlaze)에서 멀버타이징이 발견되었다는 발표를 한 적이 있다. 이중 더블레이즈는 이미 지난 7월에 같은 홍역을 치룬 바 있다.

또 다시 손 놓고 당해야 할 일이 한 가지 더 늘어난 것일까, 보안계에서 멀버타이징을 주목하고 있다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>