"MS스카이프, 이용자에게 악성광고 표출"

마이크로소프트(MS) 스카이프(Skyep)가 랜섬웨어 감염을 유발할 수 있는 악성 광고 통로 역할을 하고 있다는 불만이 제기됐다.

미국 지디넷은 지난달 30일 "스카이프 이용자들이 앱 내 악성광고를 통해 랜섬웨어에 노출됐다"고 보도했다.

보도는 미국의 인터넷 게시판 커뮤니티 '레딧(Reddit)'을 통해 제기된 이용자들의 불만을 소개했다.

그에 따르면 한 이용자는 스카이프 구동시 나타나는 첫 화면(home screen)에서 어도비 플래시 플러그인을 업데이트하라는 가짜 광고를 표시했다고 지적했다. 이 광고는 정상 애플리케이션처럼 보이는 HTML 애플리케이션 다운로드를 수행하는 방아쇠다. 하지만 실제로는 악성코드 통로 역할을 한다. 이용자 컴퓨터를 감염시켜 시스템이나 파일을 망가뜨리고 되살려주는 대가를 요구하는 랜섬웨어라는 얘기다.

다른 이용자들 가운데 스카이프의 앱 내 광고 관련 비슷한 문제를 제기한 사례가 최근 며칠간 더 있었다. 그 중 다른 사람 최소 2명이 앞서 소개된 사례와 동일한 가짜 플래시 업데이트 안내 광고였다. 이게 악성 광고라는 것을 알고 있었던 해당 이용자는 앱을 실행하는 대신 그 코드를 분석해서 게재했다.

게재된 코드를 분석한 결과는 이렇게 요약된다. 코드는 윈도 PC를 겨냥해 만들어졌다. 모종의 자바스크립트 코드를 작동케 하는 다운로드 기능을 수행한다. 이후 새로운 명령어를 통해 이용자가 열었던 애플리케이션을 삭제하고 파워셸(Powershell) 도구를 실행한다. 파워셸은 특정 도메인에 소재한 자바스크립트 인코딩된 스크립트(JSE)를 내려받는다.

해당 도메인은 더 이상 존재하지 않는데, 공격자가 악성코드 유포를 위해 동원했던 여러 도메인 중 하나였을 것으로 추정된다.

미국 지디넷은 위 코드의 동작 하나하나가, 안티바이러스 툴의 맬웨어 탐지 기능에서 악성코드를 숨겨 주는 역할을 한다고 지적했다. 사이버보안업체 포보스그룹의 알리레자 앙가이(Ali-Reza Anghaie) 공동창업자는 "이걸 '2단계' 드로퍼(dropper)라고 부른다"며 "명령과 연결(상태)을 기반으로 행동을 결정하는 맬웨어의 효과적인 구성요소"라고 설명했다.

보도는 이 '가짜 플래시' 광고가 최근 벌어진 로키(Locky) 랜섬웨어 공격의 갈래일 것이라고 추정했다. 지난 공격에서도 악성코드는 시스템에서 사용자의 클릭을 유도하는 악성광고 형태로 동작했다. 로키는 지난해 악명이 높았던 랜섬웨어 중 하나였다. 시스템에서 다른 애플리케이션을 동원하지 않고 곧바로 실행되는 자바스크립트 기반 공격으로 컴퓨터를 잠그는 기법이 이번 사례와 닮았다는 분석이다.

IBM의 위협인텔리전스 사이트 X포스(X-Force)에 공유된 맬웨어 샘플 가운데 이 악성 플래시 광고와 비슷한 사례가 올라와 있다. 해당 사례에서는 추가 악성코드를 내려받는 도메인은 달랐지만 이 공격에 사용된 웹 주소의 유형이 일치했다. 동일한 악성코드 제작자의 여러 도메인이 사용된 사례 중 일부일 수 있다는 얘기다.

이 악성코드 공격에 얼마나 많은 도메인이 사용됐는지는 알 수 없지만, 공격자는 이 공격을 유지하기 위해 각각의 도메인을 재빠르게 등록하거나 등록을 해지하는 방식으로 사이버보안연구원들의 추적과 분석을 피하고 있다.

관련기사

스카이프가 이용자를 광고 기반 공격에 노출시킨 건 이번이 처음이 아니다. 지난 2015년에도 스카이프 클라이언트는 이용자에게 자바 또는 플래시 플러그인 광고로 위장한 악성 광고를 보여줬다는 보도가 있다. 지난해에는 악성광고 공격을 유발하는 광고 플랫폼 중 '앵글러(Angler)' 익스플로잇킷 기반의 유사 공격 사례가 발생하기도 했다.

MS 측은 '사회공학' 기법을 동원한 스카이프 맬웨어 광고 게재 사례가 있었다면서 해당 문제와 관련된 책임을 피해 갔다. 회사 대변인은 "일부 고객을 악성 웹사이트로 유도할 수 있는 사회공학 기법을 인지하고 있다"며 "우리는 고객들이 알려졌거나 알려지지 않은 출처에서 요청하지 않은 첨부문서와 링크를 열 때 주의를 당부하고 안티바이러스 소프트웨어를 설치해 정기적으로 업데이트하도록 장려해 왔다"고 말했다.