• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

애플 사용자 겨냥하고 구글 농락한 대범한 멀버타이징 2016.11.02

구글 크롬이라는 키워드 합법적으로 구매해 광고 노출
맥 사용자에 대한 공격 늘어난 추세 반영...온라인 광고의 허술함도

[보안뉴스 문가용 기자] 애플의 맥에서 구글 검색 엔진을 사용하는 사람이라면, 지난 주 악성 광고를 통해 감염이 되었을 수도 있다. 사이버 범죄자들이 구글 애드워즈(Google Adwords)에 멀버타이징 공격을 감행한 것. 게다가 구글의 제품인 ‘크롬’이라는 키워드를 통해서 이러한 시도를 했던 것이라 일반 사용자들이 속을 확률이 매우 높은 것으로 나타났다.

▲ 멀버타이징, 이렇게 못 막다간 전통놀이 될 듯


보안 업체인 사일런스(Cylance)의 보안 연구원인 제프리 탕(Jeffrey Tang)은 “구글 제품을 미끼로 사용할 정도로 대담한 멀버타이징 공격자가 등장하리라고는 상상도 하지 못했다”고 설명한다. 제프리 탕은 이 공격을 제일 먼저 발견한 장본인으로, 지인의 컴퓨터에 크롬을 설치하는 과정에서 수상한 느낌을 받았다고 한다.

이는 작년 또 다른 보안 업체인 멀웨어바이츠(Malwarebytes)가 발견한 멀버타이징 공격과 비슷하다. 당시 공격자들은 인기가 높은 키워드에 대한 검색 결과 키워드를 합법적으로 구매해 누군가 그 키워드로 구글에 검색을 했을 때 가장 위에 자신들의 광고가 – 역시 합법적으로 – 나타나도록 했다. 당시 공격자들이 ‘구매한’ 키워드는 유튜브였다.

지인에게 크롬을 설치해주려던 제프리 탕 역시 구글을 통해 ‘크롬’을 검색했고(정확히는 google chrome), 제일 먼저 나타난 결과를 클릭했다. “사실 별 생각 없이 클릭했습니다. 클릭할 당시에 수상한 점이 눈에 띈 것도 아니었고요.” 클릭 후 나타난 광고의 오른쪽 하단에는 www.google.com/chrome이라는 URL이 있었고 마우스 커서를 가져다 대도 ‘정상으로 보이는’ URL이 노출되었다고 제프리는 설명한다.

하지만 이는 함정이었다. 해당 광고를 클릭하면 크롬 페이지가 아니라 www.entrack.space라는 곳으로 연결이 되었다가 다시 googlechromelive.com이라는 페이지로 연결되는 것. 당연히 구글 설치 파일을 다운로드 할 수 있도록 되어 있었다. “거기서부터 수상한 느낌이 확 들더군요.” 그래서 제프리는 다른 사이트로 가서 크롬을 설치한 뒤 조사를 이어갔다.

“윈도우 사용자가 크롬 다운로드 링크를 클릭하면 DNS 오류가 있어서 다운로드에 실패했다는 메시지가 뜹니다. 그런데 맥 사용자가 클릭하면 다양한 도메인들로 우회되며, OS X용 악성 인스톨러인 OSX/InstallMiez 혹은 OSX/InstallCore에 감염되어 있는 곳에 도달하게 되더군요.”

보다 정확히 말하면 맥OS 사용자들이 우회하는 도메인은 ttb.mysofteir.com, servextrx.com, www.bundlesconceptssend.com이었고, FLVPlayer.dmg라는 악성 파일이 다운로드 되었다고 제프리는 설명한다. 멀웨어의 해시는 다운로드가 될 때마다 바뀌고, 이 때문에 탐지나 추적이 매우 어려워진다.

“FLV 플레이어의 설치가 끝나고 브라우저를 실행하면 자동으로 ic-dc.guardtowerstag.com이라는 페이지로 연결됩니다. 그 페이지에 있는 링크를 클릭하면 macpurifier.com이라는 사이트로 연결이 되고요. OS X가 설치된 시스템을 깨끗하게 청소해주는 척 하는, 일종의 PUP(잠재적 유해 프로그램)죠.”

제프리 탕은 “공격자들이 맥 사용자만을 노렸다는 사실이 최근 해커들 사이에서 늘어가고 있는 애플 시장 공략 유행을 반영하고 있다”고 설명한다. 하지만 이게 전부는 아니다. “일단 윈도우 사용자에게 오류 메시지만을 출력한다고 해서 공격자가 윈도우 사용자를 전혀 염두에 두고 있지 않다고만은 볼 수 없습니다. 아직 공격을 위한 준비 중에 있거나, 일시적인 실수를 저질렀을 수도 있죠. 애플 환경을 노리는 사이버 공격자가 늘어난 것도 맞지만, 그렇다고 윈도우 사용자가 갑자기 맛 없는 먹잇감이 된 건 아니니까요.”

이런 공격은 ‘광고를 제작하고 노출시키는 단계’에서부터 걸러내야지만 방어가 가능하다. “구글 애드워즈를 비롯해 여러 광고 네트워크에서 해당 광고의 URL을 한 번만 조사해봤더라면 공격을 차단할 수 있었겠죠.” 물론 제프리도 잘 알고 있다. 광고를 하나하나 클릭해보는 게 구글 및 광고 네트워크 관련자들 입장에서는 물리적으로 불가능에 가깝다는 것을. “그래도 제일 상위에 노출되는 광고에 악성링크가 걸려있었다는 건 말이 안 된다고 생각합니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>