[디지털데일리 이민형기자] 내년 중소 언론사 웹사이트를 노린 사이버공격이 더 거세질 것이라는 관측이 나왔다. 국내에서는 이미 오래전부터 언론사 웹사이트가 악성코드 유포지와 경유지로 악용되고 있으나 그 정도가 더 강해질 것이라는 예측이다.

9일 블루코트와 빛스캔 등 보안업계에 따르면 내년 언론사 웹사이트의 광고서버나 서브페이지 등의 취약점을 악용한 악성코드 유포가 확산될 것으로 보인다.

지난 8일 발표된 블루코트의 2015년 보안시장 전망 보고서에 따르면 국내를 비롯해 전세계적으로 악성코드를 포함하고 있는 광고를 게재하는 언론사 웹사이트가 증가될 전망이다.

크리스 라센 블루코트 연구원은 “올해 초 LA타임즈에서 사용되고 있는 대형 광고서버에 악성코드가 삽입돼 있는 것을 확인했다. 이 악성코드는 백신으로 위장하고 있으며 LA타임즈에 접속하는 모든 독자들에게 영향을 끼칠 뿐더러, 다른 웹사이트에까지 악성코드를 전달하는 경유지로도 악용됐다”고 설명했다.

광고서버를 탈취하는 것은 매우 강력한 효과를 가져온다. 해당 광고서버에서 광고를 제공받는 모든 웹사이트가 악성코드의 영향권안에 들어가기 때문이다.

올해만 하더라도 수십개의 언론사 사이트들이 광고서버를 통해 악성코드 유포지로 악용됐다. 올해 9월 구글의 광고시스템 더블클릭도 해킹당해 이스라엘타임즈, 예루살렘포스트, 래스트에프엠(Last.fm) 등이 감염되는 사고가 발생한 것이 그 예다.

더블클릭은 웹사이트에 삽입되는 광고를 제공하는 서드파티 서비스다. 웹사이트에 소스코드만 삽입하면 동작하기 때문에 손쉽게 사용할 수 있다.

그러나 서드파티 서비스가 악성코드에 감염됐을 경우 이 서비스를 이용하는 모든 웹사이트가 추가 감염돼 심각한 상황으로 번질 수 있다.

가령 개인사용자가 자신의 블로그에 구글의 CPC(클릭 당 과금) 광고 배너를 붙였다고 가정하자. 이 광고 배너는 구글이 제작해 API형태로 사용자들에게 공개하게 된다. 사용자들은 해당 배너를 붙일 수 있는 html 태그만 블로그에 삽입하면 된다. 이후 사용자의 블로그는 해당 광고회사 서버에서 소스를 끌어와 광고를 노출하게 된다.

만약 광고배너 소스에 악성링크가 삽입됐다면 이는 광고회사만의 문제가 아니다. 광고배너를 설치한 모든 웹페이지가 악성코드 유포지로 변하게 된다. 마치 약수터가 오염돼 이를 떠서 음용하는 모든 가정이 피해를 입게되는 것과 동일하다.

국내에서는 올해 초에 드림서치라는 광고 대행사의 배너 광고에 악성링크가 삽입돼 광고를 보게 된 사용자들이 악성코드에 감염될 수 있는 위험성이 확인되었다. 빛스캔에 따르면 당시 최소 30개의 웹사이트에서 악성코드 유포가 확인됐다.

빛스캔은 광고서버로 인한 피해뿐만 아니라 대형 멀웨어넷에도 언론사 웹사이트가 악용될 가능성이 있어 주의가 필요하다고 지적했다.

문일준 빛스캔 대표는 “서드파티 모듈 공격도 위험한 상황이지만, 멀웨어넷의 활동이 활발해진 것에도 주목할 필요가 있다”고 강조했다.

멀웨어넷은 공격자가 효과를 높이고 탐지를 회피하려고 활용하는 다단계 유포 네트워크다. 정상적인 사이트에 악성링크를 직접 삽입하지 않고 경유지와 유포지 등 몇단계를 거칠 수 있도록 설계한 링크를 삽입하는 형태로 악용된다.

공격자는 자동화된 도구을 사용해 웹사이트에 무의미한 링크를 아이프레임(iFrame) 등으로 삽입한다. 삽입된 링크는 해당 시점에서는 웹사이트에 아무런 영향을 끼치지 않으나 공격자의 조작에 의해 2차, 3차 경유지 등으로 연결돼 최종적으로 악성코드를 유포하게 된다.

공격자는 일반적으로 보안관리가 취약한 언론사 서브페이지에 악성코드 유포지로 돌변할 수 있는 링크를 삽입해두고 때를 기다린다.

공격에 적합한 시기가 되면 공격자는 멀웨어넷을 동작시키며, 이는 언론사 웹사이트를 포함한 수백개의 웹사이트를 악성코드 유포지로 전환된다. 특히 멀웨어넷은 드라이브바이다운로드(DBD) 방식으로 사용돼 그 위험성이 더 크다.

내년도 악성 광고서버와 멀웨어넷의 활발한 활동이 예측되고 있어 정부와 웹사이트 관리자들의 보다 적극적인 대응책 마련이 필요한 시기다.

<이민형 기자>kiku@ddaily.co.kr