정상적인 광고 업체를 위장해 공격자의 서버를 광고 서버로 이용하는 공격이 성행하고 있다. 파이어아이에 따르면 온라인 광고를 이용하는 멀버타이징 공격 중 일부 사례에서는 도메인 이름 등록자를 감염시켜, 합법적인 도메인 아래 하위 도메인을 등록하는 ‘도메인 섀도잉(Domain Shadowing) 기술’이 이용된다. 이를 이용해 공격자들은 가짜 광고 서버를 정상적인 광고 업체로 위장한다.
한편 최근 4개월 간 한국에서 발생한 멀버타이징 공격에 매그니튜드 익스플로잇킷(Magnitude EK)가 가장 많이 사용된 것으로 나타났다. 멀버타이징에 이용되는 광고의 서버가 쿠션 서버(Cushion Servers) 혹은 섀도우 서버(Shadow Servers)라고 불리는 악성 도메인 서버를 통해 트래픽을 전달하는 네트워크로 방문자를 리다이렉트시킨다.
공격자의 통제 아래 쿠션 서버는 HTTP 리다이렉트 프로토콜 혹은 아이프레임(iframe)을 이용하여 방문자를 악성 도메인 서버로 리다이렉트한다. 방문자는 공격자가 삽입한 스크립트를 포함한 페이지를 받는 경우가 있는데, 이는 공격자가 타깃 시스템의 취약점을 효과적으로 이용한 결과이다.
방화벽·백신 우회공격 차단 방법 필수
이번에 포착된 멀버타이징 공격에서는 리그(Rig) EK, 선다운(Sundown) EK, 테러(Terror) EK, 매그니튜드 EK 등이 악용됐는데, 특히 매그니튜드 EK은 아태지역에서 널리 사용되는 익스플로잇 킷이다. 2016년 10월부터 2017년 1월동안 파이어아이 고객을 기반으로 조사한 결과, 한국은 매그니튜드 EK에 의해 가장 많이 공격 받은 국가로 나타났다.
매그니튜드 EK를 악용한 전형적인 공격 방법은 ▲정상적인 웹사이트를 브라우징하던 사용자가 해당 사이트에 포함되어 있는 광고를 함께 로드하면서 ▲방문자는 스크립트가 삽입된 도메인으로 리다이렉트되고 ▲다시 매그니튜드 EK 도메인으로 리다이렉트되는 과정을 거치게 되는 것이다. 매그니튜드 EK 도메인으로 리다이렉트된 방문자는 최종적으로 2016 년 하반기에 한국에서 가장 많은 피해를 입힌 케르베르(cerber) 랜섬웨어에 감염된다.
전수홍 파이어아이 코리아 지사장은 "오늘날 많은 국내 사용자들이 웹 기반 사이버 공격으로 인한 피해를 입고 있다. 개인 사용자들은 사용하지 않는 브라우저 플러그인을 해제하거나 소프트웨어를 업데이트하고, 광고 차단기(ad blockers)를 이용하여 이러한 공격 위험을 최소화해야 한다. 그러나 이러한 기본적인 보안 수칙으로 모든 보안 위협을 배제할 수 있는 것은 아니다. 특히 수 백, 수 천만 명의 임직원이 근무하는 조직의 경우, 웹 기반 사이버 공격 위험이 훨씬 크다. 조직들은 방화벽 및 백신을 우회하는 사이버 공격으로부터 네트워크를 모니터링할 수 있는 전문 인력 및 기술을 배치해야 할 시점이다”라고 말했다.
