멀버타이징 (malvertising)

웹 서핑을 하던 중 갑자기 PC 속도가 느려지고 알 수 없는 팝업창이 나타난다. 개인 데이터가 도난당했다. 이것이 멀버타이징이다. 보이지 않는 위협으로, 무해한 광고 뒤에 숨어 많은 피해를 일으킬 수 있다.

멀버타이징이란

‘악성 광고(malicious advertising)’의 줄임말인 멀버타이징은 온라인 광고를 사용해 맬웨어를 퍼뜨리거나 사용자를 악성 사이트로 리다이렉션 하는 것을 말한다. 사이버 범죄자는 사용자가 매일 방문하는 합법적인 웹사이트에도 악성 광고를 게재할 수 있다. 사용자가 해당 광고를 클릭하지 않더라도 기기가 맬웨어에 감염될 수 있다. 

멀버타이징 작동방식

온라인 광고는 다양한 광고 주체, 프로세스 및 서비스가 함께 작동하는 복잡한 구조로 이뤄져 있다. 따라서 사이버 범죄자가 악용할 수 있는 수많은 취약점이 존재한다. 일반적인 멀버타이징 공격 절차는 다음과 같다. 
 

1. 광고 공간 구매 : 사이버 범죄자는 웹사이트에서 직접 또는 광고 네트워크를 통해 광고 공간을 구매한다. 이런 네트워크는 광고주와 웹사이트 소유자의 중개자로, 광고 인벤토리를 사고팔 수 있는 플랫폼을 제공한다.
2. 감염된 광고 배포 : 사이버 범죄자는 이미지 및/또는 텍스트가 무해해 보이지만 실제로는 백그라운드에 악성 코드를 숨긴 광고를 제작한다. 이런 광고는 일반적으로 합법적인 웹사이트에서 구매한 광고 공간에 게재된다.
3. 광고 로드 시 감염 : 합법적인 웹사이트를 방문하면 광고가 악성인지 알 방법이 없다. 하지만 악성 광고가 로드되는 즉시 해당 광고에 포함된 맬웨어가 다양한 방식으로 활성화될 수 있다. 

• 클릭 기반 감염 : 광고를 클릭하면 악성 코드가 활성화되고 기기에 맬웨어가 다운로드된다.
• 드라이브 바이 다운로드(drive-by download) : 광고를 클릭할 필요조차 없다. 광고를 로딩하는 것만으로도 악성 코드가 실행되고 맬웨어가 설치되는 방식이다. 

맬웨어가 다운로드되지 않는 방식도 있다. 악성 코드가 브라우저 요청을 가로채 사기성 웹사이트로 리디렉션한다. 이를 악성 리디렉션이라고 한다. 

애드웨어와의 차이점

멀버타이징과 애드웨어(adware)는 서로 혼동하기 쉽다. 주요 차이점은 다음과 같다.  

• 애드웨어 : 애드웨어를 활성화하려면 사용자의 PC가 맬웨어에 이미 감염되어 있어야 한다. 애드웨어에 감염되면 브라우저 팝업이나 시스템 알림과 같은 비정상적인 위치에 광고가 표시된다.
• 멀버타이징 : 합법적인 웹사이트를 통해 퍼진다. 멀버타이징 공격을 위한 별도의 악성 소프트웨어가 피해자의 컴퓨터에 설치돼 있을 필요가 없다. 앞서 설명한 것처럼, 사용자가 아무것도 하지 않아도 감염이 발생하는 경우가 많다. 

멀버타이징의 다양한 유형

멀버타이징 공격을 수행하는 데 사용하는 방법은 여러 가지다. 다음은 가장 일반적인 방법 3가지를 소개한다. 
 

• 스테가노그래피(steganography) : 무해해 보이는 이미지에 악성 코드를 숨기는 기술이다. 몇 개의 픽셀을 변경해 그 차이가 사람의 눈에는 보이지 않도록 한다. 코드는 백그라운드에서 실행된다. 
• 다언어코드 이미지(polyglot image) : 악성 코드와 코드 실행에 필요한 스크립트가 모두 포함돼 있다. 따라서 멀티 레이어 공격을 유발할 수 있으므로 특히 위험하다. 
• 기술 지원 사기 : 악성 광고가 브라우저를 가로채고 핫라인으로 전화하라고 요청한다. 그러면 사기꾼이 사용자에게 금전이나 개인 정보를 요구한다. 
• 스케어웨어(Scareware) : 컴퓨터가 바이러스에 감염됐다고 주장하며 ‘솔루션’을 다운로드하도록 요청하는 팝업 광고다. 하지만 해당 솔루션은 쓸모없거나 그 자체로 악성이다. 
• 리워드 제공 사기 : 이런 광고는 설문조사 참여나 리뷰와 같은 간단한 작업으로 높은 리워드를 제공한다. 실제로는 사용자의 개인 데이터를 훔치거나 맬웨어를 설치한다. 
• 사기성 소프트웨어 업데이트 : 필요한 것처럼 보이는 업데이트 파일을 다운로드하라는 메시지가 표시되지만, 실제로는 맬웨어가 포함돼 있다. 

멀버타이징이 위험한 이유 

일반 사용자에게 가장 큰 위협은 바로 개인 데이터 도난이다. 사이버 범죄자는 멀버타이징을 통해 설치된 스파이웨어로 사용자의 개인 정보를 수집한다. 혹은 가짜 웹사이트를 통해 로그인 자격 증명을 입력하도록 속이고, 이렇게 입수한 자격 증명을 다른 곳에 도용할 수 있다. 일부 공격자는 멀버타이징을 통해 랜섬웨어를 배포할 수도 있다. 랜섬웨어는 사용자 컴퓨터의 파일을 암호화한 뒤, 암호를 푸는 대가로 몸값을 요구한다. 

회사 네트워크를 사용하는 사용자의 감염된 기기 하나가 기업이나 조직의 네트워크 전체를 손상시켜 심각한 피해를 일으키는 경우도 있다. 
 

멀버타이징을 예방하는 방법

1. 가장 기본적인 안전장치는 맬웨어를 비롯한 사이버 위험에 대한 실시간 보호 기능을 제공하는 평판이 좋은 안타바이러스 소프트웨어다.
2. 정기적인 소프트웨어 업데이트도 필수다. 소프트웨어를 최신 상태로 유지하는 것은 공격을 예방하는 데 언제나 중요하다.
3. 보안에 특화된 브라우저를 사용하는 것도 방법이다.
4. 광고 차단기는 광고가 기기에 도달하기 전에 차단해 위험을 최소화한다.
5. 불필요한 브라우저 플러그인은 비활성화하고 반드시 필요한 플러그인은 정기적으로 업데이트해야 한다. 브라우저 플러그인은 맬웨어의 게이트웨이가 될 수 있으므로 가급적이면 신뢰할 수 있는 플러그인을 사용하기를 바란다.
6. 안전한 웹 브라우징 사용 습관을 기르는 것도 도움이 된다. HTTPS 암호화와 전체 이용약관 페이지를 확인해 가짜 웹 사이트를 구별하고, 피싱 공격 및 기타 사기를 식별하는 방법을 알아두라. 

멀버타이징에 당했을 때 대처 방법

첫 번째 규칙은 항상 동일하다. 우선 침착하라. 그런 다음 단계를 차근차근 수행한다. 

1. 맬웨어가 치료될 때까지 개인 데이터를 보호하기 위해 중요한 계정에는 로그인하지 않는다. 
2. 인터넷 연결을 끊어 맬웨어가 데이터를 전송하지 않도록 하고 추가 피해를 방지한다. 
3. 기기를 안전 모드로 다시 시작한다. 이렇게 하면 시스템을 안전하게 검사해 잠재적인 위협을 격리할 수 있다. 
4. 디스크 정리 또는 이와 유사한 툴을 사용해 악성일 수 있는 임시 파일을 모두 삭제한다. 
5. 맬웨어를 나타낼 수 있는 의심스러운 프로그램이 있는지 확인한다. 이렇게 하려면 작업 관리자를 열고 비정상적으로 많은 양의 메모리 또는 CPU 전력을 사용하는 프로그램을 찾는다. 
6. 악성코드 스캐너를 실행해 감염된 파일을 식별하고 제거한다. 
7. 브라우저를 재설치하거나 원치 않는 플러그인을 삭제해 브라우저를 정상 상태로 복구한다.

원문: https://www.itworld.co.kr/news/344635