Breaking
사이버 보안(Cybersecurity)
어느 것도 믿을 수 없다…광고에 숨겨진 멀웨어 '비상'
2019-06-26 18:29:55
허서윤
▲소프트웨어 회사의 연구진이 온라인 광고 형태로 위장해 악성 코드가 설치되고 있는 사실을 발견했다(사진=ⓒ플리커)

[라이헨바흐=허서윤 기자] 사이버 보안 회사 콘피안트(Confiant)의 연구진이 올해 1월 최소 100만 명의 맥 컴퓨터 사용자에게 영향을 준 악성 코드로 이루어진 온라인 광고를 발견했다. 

또 어떤 앱은 온라인 광고를 통해 사용자들에게 멀웨어를 확산하는 악의적인 캠페인을 위해 쓰였다. 이로 인해 수백만 개의 장치가 취약해졌다.

이 보고서에 따르면 사용자는 광고를 통해 어도비 플래시 플레이어를 열고 업데이트할 수 있다. 그러나 프로그램의 최신 패치 대신 슐레이어라는 다운로더가 설치돼 맥 장치가 악성 코드에 더 취약해지도록 만든다. 

하지만 이 멀웨어는 광고에 숨겨져 있으므로 멀웨어 방지 프로그램이 찾아내기 힘들다.

멀버타이징

이처럼 광고를 이용해 멀웨어를 확산하는 방식을 멀버타이징이라고 부른다. 이것은 사람들이 멀웨어에 쉽게 눈치채지 못하게 하는 해커들의 공격 방식이다. 

일반적인 멀웨어에 대해 잘 알고 있는 사람들은 사이버 범죄자들이 운영하는 웹사이트를 금방 간파하고 피할 수 있다. 그러나 멀버타이징은 멀웨어에 대해 잘 알고 있는 사람도 속일 수 있다.

멀버타이징 방식을 활용하면 공격자는 네트워크 서버에 침투하거나 관리자 권한을 훔칠 필요 없이도 공격을 시행할 수 있다. 

만약 신뢰도가 높은 웹사이트에 이런 멀웨어 광고가 설치된다면, 이 웹사이트 사용자들은 이 광고가 멀웨어에 감염됐다는 사실을 전혀 의심하지 않을 것이다.

콘피안트의 연구원 엘리야 스타인은 "사람들이 일상적으로 웹사이트를 이용하면서 보는 브라우저 이미지만으로는 컴퓨터가 손상되지 않지만, 이것이 멀버타이징에서 추출한 페이로드의 일부를 전달할 때는 필수적요소다"고 설명했다.

▲온라인 광고에 숨은 멀웨어를 멀버타이징이라고 하며 이것은 해커들이 사용하는 매우 교활한 공격 방식 중 하나다(사진=ⓒ플리커)

스타인은 "이런 유형의 공격이 존재한다는 사실을 많은 사람이 알게 되면 인터넷 이용자들은 이미지 파일을 보는 것만으로도 위협을 느낄 것이다. 또 웹브라우저가 로드하는 이미지에 멀웨어가 숨어있지는 않을까 계속해서 경계하게 된다"고 말했다. 

스타인은 이어 "하지만 광고에서 제공되는 개별 이미지 파일이 안전한지를 확인하는 것은 이런 페이로드 실행이 미치는 광범위한 영향의 측면에서 볼 때는 거의 의미가 없다"고 덧붙였다.

멀버타이징은 사용자의 브라우저에 나타나는 경고 및 팝업을 표시의 형태로도 제공될 수 있다. 또 클릭할 필요가 없이 웹페이지 로드 중 광고 이미지가 나타나는 것만으로도 멀웨어가 확산될 수 있다.

멀버타이징은 두 가지 방식으로 사람들에게 영향을 미칠 수 있다. 첫 번째 방식은 광고 클릭에 의한 멀웨어 확산이므로, 광고를 클릭하지 않는다면 멀웨어 감염을 피할 수 있다. 

두 번째 방식은 피하기가 어렵다. 앞서 언급했듯 웹페이지가 로드됨과 동시에 멀웨어가 확산되기 때문이다.

사이버 보안 업체인 브로니엄의 보안 책임자 라울 카시얍은 "멀버타이징이 무서운 이유는 이것이 숨겨져 있기 때문이다"고 말했다.

 

슐레이어 : 스테가노그래피에서 파이어 베이스로

지난 1월 23일, 콘피안트와 멀웨어바이트는 베리멀이라고 알려진 멀버타이징 캠페인에 대한 보고서를 발표했다. 

이것은 자바스크립트 멀웨어를 이미지 파일에 삽입하는 것과 비슷한 방식이다. 스테가노그래피 멀웨어 혹은 이미지 기반 멀웨어라고도 알려져 있다. 

베리멀은 광고 서비스 도메인 중 하나인 베릴드-멀리스트닷컴에서 스테가노그래피를 기반으로 한 페이로드를 사용했다.

멀웨어바이트가 실시한 악성 바이너리 분석 결과 약 500만 명의 웹 사이트 방문자가 이런 멀웨어 캠페인의 영향을 받았을 가능성이 있었다. 

이 코드는 HTML5 Canvas API 개체를 열고 특정 도메인에 있는 이미지를 가져와서 특정 영문자 및 숫자 등으로 변환될 수 있는 픽셀값을 읽고 추출된 문자가 새로 추가된 코드를 실행한다.

그러나 콘피안트의 새로운 보고서에 따르면 최근에 공격자들은 스테가노그래피를 멀버타이징 캠페인에서 삭제했으며 대신 파이어 베이스라고 알려진 무해한 광고 태그로 대체했다.

파이어 베이스는 모바일 앱 개발자를 위해 설계된 구글의 클라우드 호스팅 모바일 플랫폼이다. 

그 구성 요소 중 하나인 파이어 스토어는 클라이언트 측 API가 있는 데이터베이스로, 멀버타이징을 하는 공격자들이 멀웨어 탐지기를 피하고 사용자들이 멀웨어 콘텐츠를 다운로드하도록 유도할 때 사용한 것이다.

▲바이러스 백신 소프트웨어 회사인 멀웨어바이트의 분석에 따르면 500만 대의 컴퓨터가 이런 유형의 멀웨어의 영향을 받았을 것이다(사진=ⓒ플리커)

파이어 스토어에서 반환되는 페이로드는 핑거 프린팅 및 난독화 요소가 포함된 기존의 악의적인 페이로드를 보여준다. 스테가노그래피에서 파이어 베이스로 코드를 변경하면 무해한 콘텐츠처럼 위장하기 더 쉽다.

스타인은 "광고 기술에 종사하는 사람이라 할지라도 이 코드를 알아채기는 쉽지 않다. 이런 코드가 악의적인 내용을 숨기도록 만드는 데 드는 노력 또한 크지 않다"고 말했다.

물론 악의적인 행위자들이 갑자기 모든 공격 방식을 바꾸는 데는 뭔가 이유가 있을 것으로 보인다.

슐레이어 멀웨어의 특징은 여전히 많은 바이러스 백신 프로그램에서 인식되지 않고 있다. 이를 인식할 수 있는 몇몇 바이러스 백신 브랜드는 어베스트, AVG, 아비라 및 비트디펜더 등이다. 

비트디펜더는 엠시소프트, F-시큐어, G데이터 및 키후 360 등을 포함한다.

 

[라이헨바흐=허서윤 기자]