[디지털데일리 이민형기자] 구글도 해커들의 공격에서 자유롭지 못했다. 올해 초 야후 광고서버가 해킹당한지 반년만에 구글도 광고서버가 해킹당해 악성코드 유포지로 악용됐다.

23일 외신과 보안업계에 따르면 구글의 검색 광고 시스템인 더블클릭닷넷 서버에 악성링크가 삽입돼 수백만대 이상의 컴퓨터가 악성코드에 감염됐다.

이번 공격으로 이스라엘타임즈, 예루살렘포스트, 래스트에프엠(Last.fm) 등이 감염됐으며, 이 사이트에 방문하는 대부분의 사용자들이 피해자가 됐다.

제호 세구하(JÉRÔME SEGURA) 멀웨어바이트 연구원은 공식블로그를 통해 “구글의 광고플랫폼 더블클릭과 광고에이전시 제도(Zedo)에서 공격이 시작됐다”며 “지난 8월 30일(현지시각)부터 이달 19일까지 악성코드를 유포한 것으로 조사됐다”고 설명했다.

더블클릭과 제도는 웹사이트에 삽입되는 광고를 제공하는 서드파티 서비스다. 웹사이트에 소스코드만 삽입하면 동작하기 때문에 손쉽게 사용할 수 있다.

그러나 서드파티 서비스가 악성코드에 감염됐을 경우 이 서비스를 이용하는 모든 웹사이트가 추가 감염돼 심각한 상황으로 번질 수 있다.

가령 개인사용자가 자신의 블로그에 구글의 CPC(클릭 당 과금) 광고 배너를 붙였다고 가정하자. 이 광고 배너는 구글이 제작해 API형태로 사용자들에게 공개하게 된다. 사용자들은 해당 배너를 붙일 수 있는 html 태그만 블로그에 삽입하면 된다. 이후 사용자의 블로그는 해당 광고회사 서버에서 소스를 끌어와 광고를 노출하게 된다.

만약 광고배너 소스에 악성링크가 삽입됐다면 이는 광고회사만의 문제가 아니다. 광고배너를 설치한 모든 웹페이지가 악성코드 유포지로 변하게 된다. 마치 약수터가 오염돼 이를 떠서 음용하는 모든 가정이 피해를 입게되는 것과 동일하다.

업계에서는 이러한 공격수법을 맬버타이징(Malware+Advertising, Malvertising)으로 명명했다. 이 공격수법은 웹서버 자체를 노리지 않고 연동되는 서드파티 서비스에 공격을 집중시키는 방식 중 하나로 국내에서도 종종 발견되고 있다.

국내에서는 올해 초에 드림서치라는 광고 대행사의 배너 광고에 악성링크가 삽입돼 광고를 보게 된 사용자들이 악성코드에 감염될 수 있는 위험성이 확인되었다. 빛스캔에 따르면 당시 최소 30개의 웹사이트에서 악성코드 유포가 확인됐다.

또한 지난 3월 중순에 메크로스(Mecroos)라는 광고 대행사의 이벤트 페이지에서 악성링크가 삽입돼 보안 취약한 사용자들이 악성코드에 감염될 수 있는 위협에 노출된 바가 있다.

광고서버뿐만 아니라 공통적으로 이용되는 서드파티 모듈에 대한 공격도 또한 발생하고 있다. 이러한 공격은 광고서버에 대한 공격보다 더욱 심각한 상황이다.

광고서버는 특정 키워드에 대해서만 악성코드를 유포하지만 서드파티 모듈은 웹사이트 접속시마다 노출되기 때문에 그만큼 감염 확률과 범위가 높아지기 때문이다.

전문가들은 국내에서는 멜버타이징 공격 이외에도 소셜 댓글 서비스 등과 같이 널리 이용되는 서비스에 대한 공격이 거세질 것으로 예상하고 있다.

문일준 빛스캔 대표는 “멜버타이징 공격은 해외의 문제만은 아니다”라며 “이미 국내에서도 멜버타이징 공격을 비롯해 수차례의 서드파티 모듈 공격이 발생한 바 있다”고 강조했다.

지난 7월 초 소셜 댓글 서비스인 라이블리(LiveRe)의 공통 JS 모듈에 악성 링크가 삽입된 사고가 여기에 해당한다.

이와 관련 문 대표는 “이렇게 광고 서버나 소셜 댓글 서비스와 같이 서드 파티 서비스에서 악성링크가 삽입된 경우에는 해당 서비스를 운영하는 회사의 책임으로 볼 수 있다”며 “하지만 외부 서비스를 활용하는 경우에도 주기적으로 변조 여부를 확인해 악성코드에 감염되지 않도록 다양한 대책을 강구하는 것이 중요하다”고 전했다.

<이민형 기자>kiku@ddaily.co.kr