주 메뉴 열기

멀버타이징

목차

1 정의

악성코드를 합법적으로 보이는 광고에 감춰 유포하는 행위로, 최근 엄청난 속도로 증가하는 사이버 공격 방법 가운데 하나다. 악성코드(Malware)와 광고(Advertising)의 합성어인 멀버타이징은 범죄자가 은밀하게 사람들을 공격대상으로 삼기 위해 광고를 사용하는 공격기법이다. 일반적으로 범죄자는 믿을 수 있는 웹사이트의 광고 공간을 구매하고, 보기에는 합법적인 광고를 게재하면서 광고 내부에 악성코드를 숨겨 놓는다. 악성 광고(Bad Ads)는 사용자를 악성 웹사이트로 우회시키거나 커뭎터 또는 모바일 기기에 악성코드를 설치한다.

뉴욕타임스, 스포티파이, 그리고 런던 증권 거래소를 포함해 전세계에서 인기있는 웹사이트들이 부주의로 악성 광고를 게시해 사용자들을 위험에 빠뜨린 적이 있었다. 걱정스러운 점은 사용자가 광고 이미지를 클릭하지 않더라도 감염된다는 것이다. 해당 광고를 로드하는 것만으로도 충분하다. 피해자가 한 일이라고는 어떤 웹 페이지를 거쳐간 것뿐이기 때문에 이런 방법을 “드라이브 바이 다운로드(Drive-by Download)”라고 부른다.

2 멀버타이징의 발전과 동작 원리 

멀버타이징은 2007년 말 혹은 2008년 초에 처음으로 등장한 이후 계속해서 새로운 요령을 배웠다. 당시에는 어도비 플래시에 있던 취약점을 통해 마이스페이스(MySpace)를 포함한 몇 곳의 웹사이트에 악성 광고를 배포했다. 2011년에는 드라이브 바이 다운로드의 최초 사례가 발견되었다. 이 공격에서 스포티파이는 한 달에 수백 달러로 빌릴 수 있었던 악명높은 블랙홀 익스플로잇 킷을 사용한멀버타이징 공격의 중심에 있었다.

이후 수년 동안, 멀버타이징의 범행 수법은 동일하다. 일반적으로, 공격자들은 광고 대행사에서 광고 공간을 구매한 다음 들키지 않기를 바라면서 감염된 이미지를 제출한다. 처음에는 합법적인 광고를 보내다가, 나중에 악성코드를 삽입하기 시작한다. 사람들을 충분히 감염시킨 뒤에는, 스스로 흔적을 지우고 악성코드를 제거할 수 있다. 이런 사이버 범죄자들은 흔히 광고 업계에서 채택하고 있는 복잡한 메커니즘을 악용한다. 많은 경우, 광고주와 광고 대행사 사이에는 광고 네트워크(Ad Network) 그리고 한 곳 이상의 재판매 업체가 포함된 아주 긴 공급망이 있다. 체크포인트는 최근의 멀버타이징 공격이 보여주듯이, 전체 공급망을 조작할 수 있어 합법적인 온라인 광고 회사가 멀버타이징 조직의 중심에 있을 수도 있다고 지적했다.

2018년 7월, 체크포인트 연구원들은 감염된 워드프레스 웹사이트를 방문했던 수천 명의 사용자들에게 대규모 멀버타이징을 한 활동을 적발했다. 악성 광고에는 어도비 플래시 플레이어를 포함해 브라우저와 브라우저 플러그인에 있는 패치되지 않은 취약점을 악용한 자바스크립트 코드가 포함되어 있었다. 공격자들은 공격을 혼란스럽게 만드는 활동적인 리그(RIG)를 포함해 여러 가지 익스플로잇 킷을 사용했는데, 리그는 여러 가지 웹 기술을 결합하고 있다(DoSWF, 자바스크립트, 플래시, 그리고 VB스크립트).

3 애드웨어(Adware)의 차이점

멀버타이징은 간혹 애드웨어(Adware)와 혼동되곤 한다. 멀버타이징은 광고물에 포함된 숨어있는 악성코드를 가리키고, 이는 감염된 웹사이트에 들어온 사용자에게 영향을 미친다. 반면 애드웨어는 사용자의 컴퓨터 상에서 구동되는 프로그램이다. 애드웨어도 합법적인 소프트웨어 패키지 안에 숨겨진 채로 설치되거나, 사용자 모르게 컴퓨터에 설치될 수 있다.

4 활용도구

멀버타이징 집단이 즐겨 사용하는 도구 가운데 하나가 스테가노그래피(Steganography)다. 다른 텍스트나 이미지 안에 메시지를 감춘다는 스테가노그래피의 개념은 최소 2,500년 이상 되었으며, 헤로도토스가 ‘역사(Histories)’에서 두어 가지 사례를 언급하기도 했다. 멀버타이징 조직은 흔히 악성코드를 광고 이미지에 숨겨진 이미지에 끼워넣는 동일한 접근방식을 사용하고 있다. 지오엣지에 따르면, 2018년 4분기를 거쳐 2019년에 접어들면서 이런 형태의 범죄가 기하급수적으로 증가하고 있다.

범죄 조직은 늘 개선점을 찾고 있어서, 스테가노그래피는 최근에 훨씬 더 영악한 동반자를 얻기에 이르렀다. 폴리글롯(Polyglot) 이미지가 바로 그것이다. 데브콘(devcon) 연구원들은 이 정교한 기법을 사용한 사이버범죄 조직을 밝혀냈다. 데브콘은 “스태가노그래피를 이용한 취약점 공격은 몇 개의 픽셀(Pixel)을 변조해 이미지에 숨겨진 데이터를 사용한다. 이미지를 보는 일반 사용자는 전혀 의심하지 않겠지만, 스테가노그래피는 변조된 픽셀을 찾아 실행가능한 자바스크립트로 재조립하기 위한 패턴과 옵셋을 알아내기 위해 (이미지에는 들어 있지 않은) 약간의 추가 자바스크립트를 필요로 한다”고 설명했다.

폴리글롯 취약점 공격은 한 걸음 더 나아간다. 이미지인 동시에 유효한 자바스크립트처럼 보일 수 있어서 이런 이름이 붙은 것이다. 폴리글롯의 또 다른 특징은 페이로드(Payload)를 추출해내기 위한 외부 스크립트가 필요없다는 것이다. 이 경우, BMP 이미지에 삽입된 악성코드는 파일의 16진수 바이트로 동작했다. 16진수 바이트를 조작해 컴퓨터가 이미지 크기 대신 /**에 해당하는 문자 코드를 읽을 수 있다. /**는 자바스크립트에서 주석을 가리키는 문자 조합으로, 자바스크립트 인터프리터는 그 사이에 있는 모든 것을 무시한다.

공격자는 시퀀스 =’를 추가한 다음 페이로드 문자열을 추가했다. 이를 통해, 이 파일은 브라우저에서 2가지 방식으로 구동할 수 있다(자바스크립트를 무시하는 이미지 또는 이미지 데이터를 무시하는 스크립트).

5 참고자료

여기에 있는 자료는 IDG Tech Report(광고 속 악성코드, 멀버타이징의 이해와 대처법)에서 가져왔습니다.