광고를 보는 사람들을 표적화 하는 광고 업계...커넥티드 TV 중요히 여겨
아이스버킷 캠페인, 봇을 통한 광고 클릭을 사람의 클릭으로 둔갑시켜

[보안뉴스 문가용 기자] 보안 업체 화이트옵스(WhiteOps)의 연구원들이 스마트TV 혹은 커넥티드 TV 제품들을 감염시키는 대형 광고 사기 작전이 진행되고 있음을 발견했다. 이 작전의 이름은 아이스버킷(ICEBUCKET)이며, 공격자들은 소프트웨어 봇을 활용해 실제 인간이 광고를 클릭하고 열람하는 것처럼 통계를 조작하고 광고주를 속이고 있다.


화이트옵스에 소속되어 있는 보안 전문가 마이클 모란(Michael Moran)은 “아직까지 이 대형 광고 사기극 때문에 광고주들이 어느 정도나 피해를 입었는지 알 수는 없지만, 한창일 때 공격자들은 약 30개국에서 200만 명의 가짜 ‘인터넷 인간 사용자’를 생성해 활동했다”고 한다. 이 공격을 위해 스푸핑 된 IP 주소 중 99%가 미국에 있었다.

아이스버킷은 아직도 진행 중에 있으나 현재로서는 위에서 말한 ‘한창일 때’보다는 활동량이 상당히 줄어든 상태다. 특히 지난 1월에 비해서는 현저히 낮아진 상태다. 아이스버킷 공격자들은 ‘서버 사이드 광고 삽입(SSAI)’라는 기법을 사용해 봇들을 숨기며, 이 때문에 공격 성공률이 높다고 화이트옵스는 분석한다.

“SSAI란, 영상 광고물을 영상 스트림 콘텐츠 내에 포함시키는 것을 말합니다. 이와 반대되는 것이 ‘클라이언트 사이드 광고 삽입(CSAI)’ 기법입니다. 이는 영상이 재생되는 장비 그 자체에 광고를 심는 기법이죠.” 모란의 설명이다.

요즘 온라인에서 활동하는 광고주들은 광고 표적을 정해두고 광고를 내보내는 편이다. 광고 표적은 위치, 시간, 예상되는 수익 수준, 제품 구매 가능성 등의 데이터를 기반으로 결정된다. 온라인 광고주들에게 있어 커넥티드 TV는 ‘광고를 열람할 가능성이 높은 매체’이기 때문에 중요하다.

“SSAI는 광고 생태계에 있어서 비교적 불투명한 요소에 속합니다. 에지에 있는 장비들의 역할을 서버가 대신 해주며, 확인을 위한 절차 역시 에지 장비가 아니라 서버에서 운영됩니다. 공격자들은 이런 점을 활용해 약 1700개의 중간 SSAI 서버들을 장악해 통제하고 광고를 가짜 혹은 스푸핑 된 커넥티드 TV IP주소로 전송했습니다. 또한 SSAI 트래픽을 식별 및 인증해주는 표준들을 복제해 자신들의 가짜 트래픽이 진짜처럼 보이게 했습니다.”

아이스버킷 운영자들은 가상의 비밀 서버들을 여러 데이터센터 내에 설치해 운영하기도 했다. 추적한 결과 9개국에 있는 소규모 네트워크 세그먼트에서 발견됐다. “공격자들은 돈을 주고 사용권을 취득했거나 침해했을 수 있습니다. 그렇다는 건 해당 데이터센터 업체들이 저렴한 서비스를 제공하고 있거나 보안이 약하다는 뜻이 되겠죠.”

아이스버킷 공격자들은 가짜 트래픽을 유발해 광고주들로부터 부당한 돈을 받아내는 것 외에, 자신들의 광고 사기 전략을 사업적으로 활용하고 있는 것으로도 나타났다. 즉 ‘광고 부풀리기 대행 서비스’를 각종 애플리케이션 개발사들을 대상으로 실시하고 있었던 것이다. “앱 개발사나 퍼블리셔들이 아이스버킷의 트래픽을 정상 트래픽에 섞는 것을 상당히 발견할 수 있었습니다.”

안타깝게도 이런 행위를 통해 실제 이익을 보며 수익을 거두는 사람이 누구인지는 아직 정확히 알 수 없다고 모란은 말한다. “보통 광고 생태계 내에서는 거래와 관련된 여러 가지 정보가 공개됩니다. 하지만 공격자들이 활용하는 생태계 망은 조금 불투명합니다. 이런 사기가 증가하는 걸 막으려면 광고 생태계의 투명성을 더 확보해야 할 것입니다. 특히 어떤 트래픽의 어떤 회사 사이에서 거래되고 있으며, 누가 최종적으로 이득을 거두는지에 대한 정보들이 투명하게 나타나야 할 것입니다.”

디지털 광고 사기 범죄는 매년 수천만~수억 달러에 달하는 피해를 광고주들에게 입힌다. 현재까지 나타나는 광고 사기의 수법은 거의 대부분 봇과 봇넷을 사용해 마치 사람이 한 것과 같은 클릭과 열람, 조회수를 남기는 것이다. 사람의 클릭과 조회를 간절히 바라는 광고주들의 마음을 가짜로 충족시켜주는 것이다.

작년 화이트옵스가 연구한 바에 의하면 전체 광고 조회 및 열람의 약 35%가 봇에 의한 것이라고 한다. 이 때문에 일부 광고주들은 위축되어 투자를 줄이고 있으나, 보안 업계와 일부 광고주들은 오히려 사기 방어 대책을 마련해 도입시키고 있기도 하다. 사기 범죄 때문에 온라인 광고 시장이 위축될 거라는 전망이 있어왔으나, 아직까지는 그런 조짐이 보이지 않고 있다.

3줄 요약
1. 커넥티드 TV 생태계에 대형 광고 사기 캠페인이 나타남.
2. 이 캠페인의 이름은 아이스버킷으로, SSAI라는 기법을 통해 광고 조회수를 허위로 높임.
3. 마지막으로 이득을 거두는 자 알 수 없음. 광고 생태계의 투명성 높여야 사기 줄일 수 있음.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>