• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

역사상 가장 큰 멀버타이징! 이틀 만에 3억 세션 하이재킹 2018.11.29

성인물 혹은 기프트 카드 당첨과 관련된 콘텐츠로 클릭 유도
아직 공격 배후 밝혀지지 않아...다만 현재도 진행 중

[보안뉴스 문가용 기자] iOS 기반 장비들을 겨냥한 대규모 멀버타이징 캠페인이 발견됐다. 이 공격으로 단 48시간 만에 약 3억 개의 브라우저 세션이 하이재킹 됐다. 이를 발견한 건 보안 업체 콘피안트(Confiant)로, 11월 12일부터 지금까지 공격은 진행 중이라고 한다.

[이미지 = iclickart]


콘피안트에 의하면 이 멀버타이징 공격자들은 주로 정상적인 온라인 광고와 웹 페이지에 악성 코드를 주입하는 수법을 쓴다고 한다. 피해자가 이 광고나 페이지를 클릭했을 때, 악성 페이지로 연결이 되는데, 주로 성인 콘텐츠가 있는 페이지나 기프트 카드 사기 페이지가 사용된다.

콘피안트의 CTO인 제롬 단구(Jerome Dangu)에 의하면, “사용자가 그런 사기성 페이지에 방문하게 되면 엠베드 된 자바스크립트가 실행된다”고 한다. 물론 이 자바스크립트는 암호화 처리 되어 있어 발견이 쉽지 않다. 그 후부터 피해자들은 각종 악성 페이지들로 계속해서 우회되는데, 여기에는 happy.hipstarclub.com이나 happy.luckstarclub.com 따위의 도메인들이 포함되어 있다. 이 페이지들은 구글 플레이 앱들로 위장되어 있기 때문에 얼른 봐서는 비정상적으로 보이지 않는다.

이렇게 사용자들을 연속적으로 악성 페이지로 우회시키는 목적은 사용자 데이터를 취득하기 위해서다. 이 데이터를 마케팅 관련 사기 공격을 실행하거나, 이메일, 주소, 소득 수준, 구매 의사 등의 개인정보를 훔쳐낼 수 있다고 단구는 설명한다. “사용자가 특별한 행위를 하지 않아도 세션은 이미 공격자들의 손에 넘어갑니다. 사실 ‘당신은 1천 달러의 상금을 얻게 되었습니다!’라는 메시지가 알고 보면 너무나 뻔한 수법이지만, 속는 사람이 꼭 생깁니다. 지금 피해 상황을 보면 속은 사람이 여럿 되는 것 같습니다.”

공격 규모
멀버타이징은 이제 흔한 사이버 공격의 한 종류로 자리 잡았다. 바로 지난 7월만 해도 애드테라(AdsTerra)라는 온라인 광고 회사를 통한 멀버타이징 공격으로 약 1만 개의 웹사이트가 침해를 당한 바 있다. 이번에 발견된 멀버타이징 캠페인은 iOS 사용자들만을 표적으로 삼는데, 주로 미국에 피해가 집중되어 나타나고 있다.

피해 규모는 경악스러울 정도다. 단 48시간 만에 약 3억 번의 사용자 로딩(impression) 혹은 재로딩이 기록된 것이다. 즉, 공격자들이 그만큼의 부당한 이득을 취한 것이라고 볼 수 있다. 2017년 최대의 멀버타이징 공격은 저코니움(Zirconium)이라는 공격 단체가 실시했는데, 그 규모가 연간 수천만 건의 사용자 로딩 및 재로딩 기록을 부당하게 생성한 것이었다. 48시간만에 3억 건이라는 건 어마어마한 숫자다.

단구는 “콘피안트의 고객 60%가 이 캠페인에 휘말려들었다”며 “11월 12일부터 아이폰으로 평소처럼 웹 브라우징을 한 적이 있다면, 그리고 당신이 미국인이라면 이 멀버타이징 공격에 영향을 받았을 확률이 매우 높다”고 말했다. 여기서 ‘영향을 받았다’는 건 해당 공격에 성공적으로 당했다는 뜻이 아니라 위험한 광고가 있는 사이트에 잠시 들렸을 수도 있다는 뜻이다.

“여기에 아주 적게 잡아 약 0.1%가 실제로 악성 링크에 클릭을 했거나 스크립트에 감염됐다고 치면, 30만 명이 실질적인 피해를 입었다고 볼 수 있습니다. 이 한 사람 한 사람의 기록은 공격자에게 적어도 수십~수백 달러의 가치가 있고요.” 단구의 설명이다. “공격자가 약 20만 달러를 들여 이 공격 캠페인을 실시했다면, 적어도 이틀 안에 1백만 달러를 거둬들인 것이라고 볼 수 있습니다. 남는 장사를 한 것이죠.”

공격자
이번 공격을 실시한 자들은 “멀버타이징을 주력으로 하는 공격자들 중에서도 매우 독특하다”고 단구는 설명한다. “하지만 누구인지 아직까지 밝혀내지는 못했습니다.” 하지만 콘피안트는 추적과 분석으로 공격자들이 최소 8월부터 활동해왔다는 걸 밝혀낼 수는 있었다. 또한 공격자들이 주로 노리는 건 미국인들이지만 호주와 뉴질랜드에서도 비슷한 행동이 발견되었다고 한다.

가장 우려되는 건 이들의 공격이 현재도 진행형이라는 점이다. “공격자들은 계속해서 다른 광고 네트워크를 타고 공격을 실시합니다. 가까운 미래에 어떤 나라의 어느 광고 네트워크를 타고 등장할지 예측할 수가 없습니다. 많은 돈을 남겼고, 어디에 투자를 하면 되는지도 잘 이해하고 있는 공격자이기 때문에 금방 또 나타날 것으로 보입니다.”

3줄 요약
1. 어쩌면 역사상 가장 큰 규모의 멀버타이징 캠페인 등장.
2. iOS 기기를 통한 브라우저 세션 3억 건을 단 이틀 만에 하이재킹함.
3. 이것으로 사이트 로딩 수를 크게 부풀릴 수 있고, 개인정보 탈취가 이뤄진 것으로 보임.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>