• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

28개 가짜 광고 회사 동원한 초대형 멀버타이징 캠페인 발견돼 2018.01.25

유료 광고 사이트의 62% 공격...주로 우회 공격 통해 트래픽 높여
법적 실체와 파트너사들, 온라인 사기 행각으로 유명

[보안뉴스 문가용 기자] 대규모 멀버타이징 공격이 포착됐다. 2017년에 약 10억 건의 악성 광고가 클릭됐을 정도이며, 28개의 가짜 광고 에이전시를 통해 소비자들을 노려왔다고 한다. 이는 멀버타이징 캠페인 중 역대 최고 규모라고 한다.

[이미지 = iclickart]


이를 발견하고 조사해 보고서를 작성한 건 보안 업체 콘피언트(Confiant)의 CTO인 제롬 단구(Jerome Dangu)로, 이 대규모 멀버타이징 연합체는 “유로 광고가 존재하는 웹사이트의 약 62%를 공격했다”고 밝히고 있다. 현재 콘피언트는 이 연합체를 지르코니움(Zirconium)이라고 부른다.

지르코니움은 주로 ‘우회 공격’이라고 불리는 기법을 사용한다. 사용자들이 특정 웹사이트를 방문하면, 다른 사이트로 돌려버리는 것을 말한다. 이 특정 웹사이트들은 당연히 지르코니움이 먼저 침해한 사이트이며, 피해자들이 원치 않게 우회되는 곳 역시 지르코니움이 침해한 사이트일 가능성이 높다. 이 과정 속에서 피해자들의 시스템에는 각종 멀웨어들이 심긴다. 좀 더 풀어보면 다음과 같다.

1) 웹 사용자가 한 웹사이트를 방문한다. 이미 지르코니움이 침해한 곳이다.
2) 사용자가 다른 사이트로 이동된다(우회 공격). Beginads.com이라는 모바일 광고 플랫폼인데, 이 캠페인의 중앙 게이트웨이 역할을 한다.
3) 여기서 방문자들은 또 다른 사이트로 이동된다. 지르코니움이 마련한 사이트로 MyAdsBro라고 한다. 다른 공격자들도 이리로 피해자들을 우회시키곤 했다.
4) 방문자들은 다시 한 번 다른 사이트로 옮겨진다. 하지만 지르코니움이 운영하는 사이트는 아니다.
5) 이렇게 사용자들을 여기저기로 돌린 후 해당 트래픽을 판매해 막대한 수익을 거둔다.

지르코니움은 28개의 ‘정상 광고 에이전시’인 것처럼 보이는 회사를 전면에 내세우고 있다. 물론 전부 가짜다. 하지만 이 가짜 회사들 덕분에 대형 온라인 광고 플랫폼에 자신들의 악성 광고를 심을 수 있었다. 이런 ‘얼굴마담’이 28개나 되니 한 가지가 발각되더라도 범죄 사업을 진행하는 데에 있어 아무런 방해가 되지 않았다.

단구에 의하면 지르코니움도 이 28개 가짜 사업체를 진짜처럼 보이게 하기 위해 많은 노력을 기울였다고 한다. “28개가 전부 진짜처럼 보여야 하면서 동시에 각기 전혀 상관이 없는 것처럼 위장해야 하거든요. 말처럼 쉽지 않은 일이었습니다. 28개 회사 모두가 고유한 온라인 및 소셜 미디어 채널을 보유하고 있었고, 각 회사마다 가짜 CEO와 임원진들이 있는데, 또 이들 각자가 전부 링크드인 계정을 보유하고 있었어요. 콘텐츠도 꾸준히 올렸고요.” 보고서의 내용이다. 그런 각고의 노력 끝에 지르코니움은 약 16개의 광고 플랫폼 업체들과 좋은 사업 관계를 맺고 이어갈 수 있었다.

단구는 “이 가짜 회사들 대부분 2017년 2월에 만들어졌다”고 보고서를 통해 설명한다. 아직 8개 회사 혹은 브랜드는 사용되지 않았다. 지금 사용되고 있는 브랜드들의 정체가 발각될 경우를 위해 남겨둔 것으로 보인다. 또한 이렇게나 많은 가짜 광고 회사를 운영하고 있었다는 것은 맞춤형 광고 서버를 보유하고 있다는 뜻이 된다고 단구는 분석한다. 왜냐하면 그래야 광고가 심긴 사이트에서 임의의 자바스크립트를 실행하는 것이 가능해지기 때문이다.

또한 지르코니움은 10월부터 지문감식법을 활용해 사용자의 브라우저 및 기기에 관한 데이터를 수집하기 시작했다. 이는 보안 전문가들이 이 공격에 걸려들 경우를 위한 것으로, 우회 공격이 실시되지 않는다. 지르코니움의 법적 실체는 Cape Diamond LP라는 곳으로 스코틀랜드에 있고, 파트너사인 Damitra Group LTD와 Lamen Business LTD는 세이셸 제도에 위치한 것으로 나타났다. 다 온라인 사기 활동 및 암호화폐 투자 관련 활동으로 악명이 높은 단체들이라고 한다.

이 건과 관련된 콘피언트의 보고서는 여기(https://blog.confiant.com/uncovering-2017s-largest-malvertising-operation-b84cd38d6b85)서 열람이 가능하다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>