구글 더블클릭 광고서버가 해킹돼 악성코드를 유포하는데 악용된 것으로 나타났다. 광고서버를 공격하는 유형은 국내는 이미 수년 전부터 유사한 방식이 발견된 만큼 새로운 수법은 아니다. 그러나 일일이 광고서버를 모니터링하기 어렵고, 불특정 다수를 대상으로 삼을 수 있다는 점 때문에 공격이 끊이지 않고 있다.
최근 더버지, PC월드 등 외신에 따르면 보안회사 멀웨어바이트는 자사가 구축한 보안시스템을 통해 확인한 결과 이스라엘 타임스, 예루살렘 포스트, 음악 스트리밍 서비스를 제공하는 'Last.fm' 등 웹사이트 내 광고 링크에서 악성행위를 발견했다고 밝혔다.
멀웨어바이트 제롬 세구라 연구원은 문제는 구글의 더블클릭 광고서버, 광고에이전시인 제도(Zedo) 플랫폼에서 발생했다고 설명했다.
이들 서버, 플랫폼이 해킹돼 악성코드가 포함된 광고를 해당 사이트에 게재하는 역할을 한다. 사용자가 해당 사이트에 방문하면 광고가 표시되면서 보안이 취약한 사용자 PC에 자동으로 '제못(Zemot)'이라는 악성코드가 실행된다. 이 악성코드는 마이크로소프트(MS) 멀웨어프로텍션센터(MSRT)가 이달에 처음으로 발견했다.
이에 대해 구글측은 이 사실을 확인했으며 문제를 해결하기 위한 조치를 취하는 중이라고 해명했다.
멀웨어바이트가 이러한 수법을 처음 발견된 것은 8월 말이며 현재까지 수백대 PC가 제못 악성코드에 노출됐을 것으로 추정된다. 제못은 윈도XP 운영체제(OS)를 사용하는 PC를 주요 공격대상으로 삼고 있으며 x86, 64비트 PC에서 구동되는 OS를 사용하는 경우에도 문제가 될 수 있다.
이 악성코드는 추가적인 악성코드에 감염시키기 전 사용자 PC의 보안시스템을 우회하도록 설계됐다.
올해 초 발생했던 야후 광고서버 햌킹도 유사한 사례로 야후닷컴을 방문한 PC들이 'ads.yahoo.com'이라는 도메인에 접속해 광고를 볼 때 악성코드에 감염되는 것으로 나타났다.
관련기사
- 홈디포, 5천600만건 카드정보 유출 시인2014.09.22
- POS 시스템은 어떻게 신용카드 위조에 악용됐나2014.09.22
- 구글 지메일 비밀번호 500만개 유출2014.09.22
- "홈디포도 타깃 공격한 악성코드에 무너져"2014.09.22
국내서는 이미 수년 전부터 이러한 유형이 등장해 왔다. 빛스캔 관계자에 따르면 우리나라 타깃광고플랫폼 회사, 배너광고회사, 소셜댓글서비스 등을 통한 공격 등이 발견된 바 있다고 밝혔다.
예방법에 대해 이 관계자는 광고서버를 꾸준히 모니터링해 악성 외부링크들이 포함되지 않았는지 확인하는 한편, 이를 꾸준히 체크할 수 있는 도구나 서비스 등을 활용하는 것도 방법이라고 말했다.
