정용환 기자일반 온라인 광고에 노출해 사용자를 악성코드 확산을 위한 악성 웹사이트로 유도하는 광고를 멀버타이징(malvertising)이라고 한다. 스팸 활동과 보안 위협을 추적하는 기업인 스팸하우스테크놀러지(Spamhaus Technology)가 2023년 2월 3일 블로그를 통해 지난 며칠 동안 구글 광고 전반에 걸쳐 멀버타이징이 급증했다고 보고했다.
회사 측은 보안 위협 연구자는 구글 광고를 통한 멀버타이징에 어느 정도 익숙하지만 지난 며칠 동안 유명 브랜드에 영향을 미치는 여러 악성코드가 사용된 대규모 악성코드 급증을 봤다고 밝혔다. 이에 따르면 과거 며칠간 급증한 멀버타이징에는 다수 멀웨어 패밀리(AuroraStealer, IcedID, Meta Stealer, RedLine Stealer, Vidar, Formbook, XLoader) 확산이 확인되고 있다고 한다.
기존에 이런 악성코드 패밀리는 악성코드를 포함한 문서 파일을 첨부한 피싱 이메일이나 악의가 있는 스팸 메일을 통해 확산되고 있었다고 한다. 하지만 1월말에는 어도비 리더, GIMP, 마이크로소프트 팀즈, OBS, 슬랙, 토르, 썬더버드 등 인기 소프트웨어 브랜드 구글 광고를 통해 이런 악성코드 패밀 리가 확산되는 경우가 급증했다는 설명이다.
일련의 멀버타이징은 소프트웨어명 등으로 구글 검색을 할 때 표시되는 온라인 광고로 가장한다. 진짜라고 믿고 사이트에 액세스해 사이트에 쓰인 대로 소프트웨러를 다운로드하면 멀웨어에 감염되어 버리는 것이다.
물론 구글은 멀버타이징을 박멸하기 위해 다양한 조치를 취하고 있지만 이런 멀버타이징은 난독화를 이용해 엔드포인트 보호나 분석을 피하고 여러 도메인에 대한 통신을 사용한다. C2 서버 트래픽을 가장하고 있다는 것.
구글 측은 이런 문제를 해결하기 위해 지난 몇 년간 새로운 인증 정책을 수립하고 광고주 검증을 강화하고 협력적인 사기를 탐지하고 예방할 능력을 개선해왔다면서도 최근 악성 광고 활동이 증가하고 있다는 걸 인식하고 있다고 밝혔다.
스팸하우스테크놀러지는 구글 광고에서 멀버타이징이 급증한 이유에 대해 위협 액터가 다크웹에서 멀버타이징을 SaaS로 판매하기 시작했을 가능성이 높다고 분석하고 있다. 또 이번 멀버타이징에 사용된 도메인이 최근에 만들어졌으며 구글 광고가 새 도메인에 연결된 광고를 승인한 이유를 의문시하기도 했다. 관련 내용은 이곳에서 확인할 수 있다.
이원영 기자
이석원 기자
