웹사이트 광고가 랜섬웨어 놀이터 된 이유

지난해 클리앙과 최근 뽐뿌, 딴지일보 등 온라인 인기 커뮤니티, 언론사 웹사이트까지 랜섬웨어 때문에 몸과 마음 고생을 많이 했다.

이들 웹사이트에 방문하는 것만으로도 방문자의 PC, 노트북 내 중요 문서파일들이 암호화 해버리고, 이를 풀어주는 대가로 비트코인을 내놓으라는 '공포의 화면'을 봤다는 피해자들이 끊이지 않는 탓이다.

사이버범죄자들은 기본적으로 투자대비수익률(ROI)을 중요시 한다. 인기 웹사이트 광고를 노리지 않더라도 더 쉽고 빠르게 더 많은 이들을 악성코드에 감염시킬 수 있는 방법이 있다면 굳이 마다할 이유가 없다.

주목할만한 사실은 이 범죄자들이 수년전부터 보안에 취약한 광고서버를 통해 ROI를 뽑아내고 있다는 점이다. 현재 악성코드 중 가장 수익률이 좋은 랜섬웨어는 '이메일 낚시(phising)'를 하는 전통적인 방법 외에도 웹사이트가 직접 관리하는 자체 서버 대신 상대적으로 관리가 허술한 외부 광고서버를 노린다.

■뽐뿌 등 인기 웹사이트 노린 랜섬웨어...누가 잘못했나

가장 최근 문제가 불거진 것은 뽐뿌다. 200만여명 규모 회원들을 확보하고 있는 인기 온라인 커뮤니티가 직접 관리하지 않는 외부 광고서버를 통해 랜섬웨어가 유포된 것이다. 같은 시기 딴지일보는 물론 주요 언론매체 웹사이트에서도 비슷한 문제가 발생했던 확인됐다.

연휴가 낀 3일~6일까지 랜섬웨어가 유포돼 피해자가 발생했던 사건의 경과는 이렇다.

뽐뿌의 경우 5일께 회원 중 한 명이 올린 글을 보고 랜섬웨어 감염자들이 나오고 있다는 사실을 확인한 뒤 직접 운영 중인 자체 광고서버와 함께 이베이 광고플랫폼을 통한 광고서버로부터 웹사이트로 광고송출을 임시차단했다.

그 와중에 하우리 CERT실에 근무하고 있는 최상명 실장이 개인적으로 분석한 랜섬웨어 유포 경위에 대한 자료를 전달받아 7일 새벽께 구글 광고 플랫폼인 애드익스체인지(AdX)쪽에 점검을 요청해 대응했다.

구글측은 확인과정에서 애드익스체인지를 통해 입찰에 참여했던 외주 광고플랫폼 회사가 보안에 취약한 탓에 랜섬웨어를 유포하는 경로로 악용됐다는 사실을 확인해 차단조치했다.

문제가 불거진 3일부터 적극적으로 상황을 알리면서 대응하지 못한 뽐뿌측에 1차 책임이 있는 것은 맞지만 광고서버를 통한 랜섬웨어 유포의 모든 책임을 지우기에는 애매한 구석이 있다.

최상명 실장이 분석한 결과에 따르면 뽐뿌 등 인기 온라인 커뮤니티와 주요 언론사 웹사이트를 통해 감염을 시도한 랜섬웨어는 '크립트XXX(CryptXXX) 3.x 버전'이다.

이 랜섬웨어는 구글 애드익스체인지를 통해 해당 사이트들에 대한 광고게재 입찰에 참여했던 외주 광고플랫폼 회사가 오픈소스 기반 광고플랫폼인 '오픈X'를 사용하면서도 제대로 보안관리를 하지 않았던 탓에 발생했다.

최근 뽐뿌, 딴지일보, 주요 언론사들을 대상으로 한 랜섬웨어 유포는 구글 애드익스체인지를 통해 입찰을 받은 외주 광고플랫폼 회사를 통해 유포된 것으로 확인됐다.

뽐뿌에 랜섬웨어가 유포됐던 시기 딴지일보에서도 같은 유형의 공격이 발생했다.

그러면 구글이 애드익스체인지를 제대로 관리하지 못한 책임이 큰 것일까

웹사이트 관리자들이 애드익스체인지에 광고를 게재할 것을 요청하면 이 플랫폼은 광고게재를 희망하는 외주 광고플랫폼 회사들로부터 입찰을 받아 낙찰된 회사가 해당 사이트에 광고를 게재하도록 관리한다. 애드익스체인지가 광고 판매자(웹사이트)와 광고 구매자(외주 광고플랫폼 회사) 사이 중개인 역할을 하는 것이다.

최근 외주 광고플랫폼이 운영하는 광고서버를 통한 랜섬웨어 유포에 대해 구글측은 "사용자, 광고주, 게시자 모두를 보호하기 위해 멀웨어(악성코드) 퇴치에 힘쓰고 있다"며 "구글은 악성 광고 근절을 위해 고안된 최신 감지 시스템을 사용하며, 구글 필터를 피해가는 멀웨이가 감지되면 이를 차단하기 위한 적절한 조치를 취해 사용자와 광고주, 게시자를 보호한다"고 답했다.

문제는 연휴가 낀 4일 동안 뽐뿌를 포함한 여러 사이트에서 해당 광고서버를 통해 랜섬웨어가 뿌려지고 실제 피해자들이 발생했다는 점이다.

뽐뿌와 구글 모두 보다 빠르게 문제를 파악하고, 해결하기 위한 프로세스가 작동하지 않았다는 점은 개선해야할 대목이다. 실제로 7일 관련 내용을 전달받아 실제 차단 조치가 이뤄진 것은 이후 일이기 때문이다. 딴지일보의 경우도 문제가 확인된 뒤 8일부터 공지를 통해 조치사항을 알렸다.

애드익스체인지는 웹사이트와 광고주를 연결하는 광고플랫폼 역할을 한다. 결국 광고서버가 장악당해 랜섬웨어가 유포되도록 방치한 외주 광고서버 관리업체에게 가장 큰 책임이 있다. 그러나 이들 업체들도 관리를 안했다기보다는 못했다고 보는 것이 맞다.

이러한 서버를 운영하는 업체들 대부분이 영세한 경우가 많은 탓에 광고서버에 대한 보안관리가 제대로 이뤄지지 않고 있기 때문이다. 사이버범죄자들은 이러한 점을 철저히 악용했다. 광고서버를 구축하는데 쓰인 오픈X에서 발견된 보안 취약점을 공략해 해당 서버를 장악한 뒤 뽐뿌 등 인기 웹사이트에 랜섬웨어를 뿌리기 위한 전초기지를 마련했다.

한국인터넷진흥원(KISA) 코드분석팀 임진수 팀장은 "랜섬웨어는 메일, 토렌트, 웹사이트 등 여러 경로로 뿌려지고 있는데 광고서버를 통하는 경우는 지속적으로 광고배너가 움직이는 상태에서 탐지를 해야하기 때문에 잡아내기 어려운 부분이 있다"며 "결국 얼마나 빠르게 알아내서 대응하느냐의 문제"라고 설명했다.

웹사이트 취약점을 모니터링하는 빛스캔 오승택 연구원은 "웹사이트 내 광고는 하위광고링크가 복잡하게 연결돼 있어 탐지하기 쉽지 않은 것이 사실"이라고 밝혔다.

메이크어스 김호광 최고기술책임자(CTO)는 "일반적인 웹사이트는 방화벽 등 기본적인 보안장비들을 갖추고 있기 때문에 피해가 덜하지만 영세한 광고플랫폼회사들이 운영하는 광고송출서버의 경우 관리가 허술한 경우가 많다"고 지적했다.

■광고서버 통한 랜섬웨어, 해외서는 '멀버타이징'으로 통해

광고서버를 통한 랜섬웨어 유포는 해외에서도 골칫거리다. 국내와 같은 사례를 두고 글로벌 보안회사들은 '멀버타이징(Malvertising)'이라고 부른다.

미국 보안회사 멀웨어바이츠가 운영하는 블로그에 따르면 지난 3월 중순 MSN, 뉴욕타임스, BBC, AOL, NFL 등 인기 웹사이트에 게재됐던 광고를 통해 랜섬웨어가 대량으로 유포되는 사건이 발생했었다. 공격자들은 '앵글러 익스플로잇키트'라는 취약점 공격툴을 악용해 마이크로소프트가 지원을 중단한 실버라이트를 포함해 여러가지 소프트웨어나 운영체제에서 발견된 보안취약점들을 공략했다.

구글은 지난해 기준 7억8천만개 악성광고를 차단했다. 이는 2014년 대비 50% 가량 늘어난 수치다. 리스크IQ가 조사한 자료에서는 지난해 상반기 기준으로 전년대비 멀버타이징이 2.6배나 늘어나는 등 점점 더 문제가 심각해지고 있는 실정이다.

■업계만 잘한다고 해결될 문제 아니다

멀버타이징 혹은 웹사이트와 연동되는 외부 광고서버를 통한 랜섬웨어 유포를 차단하기 위해 가장 확실한 해결책은 아예 광고를 차단시켜버리는 것이다. 일명 '애드블록커(Adblocker)'라고 불리는 프로그램을 다운로드 받아 적용하는 것이 하나의 방법이다.

그러나 콘텐츠를 제공하고, 커뮤니티를 운영하는 대가로 웹사이트에 게재되는 광고를 통해 상당 부분 수익을 얻고 있는 운영진들 입장에서는 광고를 아예 빼놓고 사이트를 유지하는 것은 사실상 불가능하다. 실제로 일부 웹사이트는 해당 사이트에 접속하기 위해 애드블록커 사용을 중단해달라고 요청하는 경우도 있다.

웹사이트 운영진들이 내부에 구축한 광고서버에 대한 보안을 철저히 관리한다고 해도 웹사이트가 자체적으로 운영하는 서버가 아닌 구글 애드익스체인지 등과 같은 외주 광고플랫폼을 통해 운영되는 광고서버에 대해서는 대응이 어렵다. 결국에는 웹사이트 입장에서 이러지도 저러지도 못하는 상황이 벌어지고 있는 것이다.

김호광 CTO는 "개별적인 커뮤니티 사이트의 수익원인 배너광고는 커뮤니티 사이트에서 보안스캐닝을 하더라도 해당 사이트와 배너 광고서버의 도메인 등이 분리돼 있기 때문에 보안스캐닝에서 누락될 가능성이 높다"고 지적했다.