침해사고/위협동향

애드웨어 무단설치도 억울한데 악성코드까지?

이민형

[디지털데일리 이민형기자] 최근 애드웨어(ADWare)를 통한 악성코드 유포가 보안업계에서 문제로 떠오르고 있다. 해당 악성코드는 메모리해킹, 파밍 등 신종 전자금융사기에 사용되는 것으로 조사됐다.

7일 잉카인터넷에 의하면 국내에서 서비스되고 있는 애드웨어의 운영서버, 모듈 등이 해킹당해 악성코드의 유포지로 악용되고 있다.

보통 웹사이트를 통한 악성파일 전파방식은 사용자PC에 보안취약점이 존재해야 하는 전제조건이 성립해야만 감염되기 때문에 사용자PC의 보안수준이 강력하다면 큰 문제는 발생하지 않을 수 있다.

그러나 애드웨어의 유통경로를 악용한 전파방식은 웹브라우저, 자바, 플래시 등 애플리케이션의 보안 취약점을 이용한 방식이 아니기때문에 대량으로 신속하게 배포할 수 있는 장점을 보유하고 있다. 특히 애드웨어의 특성 상 보안업체들이 분석을 꺼리는 이유도 공격자에겐 이득으로 작용한다.

보안업체들은 일반적으로 애드웨어를 악성코드의 일종으로 분류한다. 이는 애드웨어가 사용자의 동의가 없이도 스파이웨어, 멀웨어로 변신할 수 있기 때문이다. 애드웨어로 설치됐으나 사용자 PC 자원을 무단으로 사용하고, 무분별한 광고를 노출하는 등의 사례가 이를 증명한다.

이러한 이유로 애드웨어를 제거하려는 보안업체들과 정식으로 서비스하는 앱을 제거한다고 주장하는 애드웨어 업체간의 다툼도 잦은 편이다.

공격자들은 이러한 약점을 노리고 애드웨어 운영서버나 모듈을 변조시켜 악성코드를 유포한다. 애드웨어를 설치하면 자동으로 악성코드를 내려받을 수 있도록 모듈을 변조해두기도 하고, 최근 야후 광고네트워크 서버 해킹처럼 광고에 악성코드를 심어두고 자동업데이트의 방식으로 유포하기도 한다.

문종현 잉카인터넷 시큐리티대응팀장은 “최근 발견된 악성파일들은 국내 인터넷뱅킹 사용자와 온라인게임 사용자의 계정정보를 노린 코드가 삽입돼 있다. 공격자들은 상대적으로 보안이 허술한 국내 애드웨어 업체의 서버를 해킹하거나 파일을 변조해 악성파일 유포에 남용하고 있다”고 설명했다.

이어 “이 같은 수법은 드라이브 바이 다운로드(Drive By Download) 기법의 웹 모니터링과 탐지센서의 감시망을 은밀하게 우회해서 배포할 수 있다는 이점이 결합되면서 더욱 더 교묘하고 지능적인 공격기법”이라고 덧붙였다.

문제는 애드웨어 사업자들이 자신들의 앱이 악성코드의 유포지로 악용되고 있다는 것을 인지하지 못하고 있다는 점이다. 재주는 곰(애드웨어 사업자)들이 넘고, 돈은 엉뚱한 사람(공격자)이 벌고 있는 셈이다. 특히 일반 사용자들은 애드웨어 설치로 인한 피해와 악성코드 유입으로 인한 피해를 모두 받게 돼 문제가 심각하다.

이 같은 피해를 최소화하기 위해서는 우선 애드웨어를 내려받아선 안된다.

많은 애드웨어 사업자들은 사용자들이 널리 쓰는 앱들을 자신들의 애드웨어와 결합해 포털 블로그 등에 노출시킨다. 또 검색결과 값을 어뷰징 해 특정 앱을 검색했을 때 최상단에 블로그가 노출되게 해 사용자들이 설치하도록 만든다.

사용자들은 자신이 필요한 앱들을 공식 웹사이트나 포털 자료실 등에서 내려받는 습관을 들여야 한다. 가령 안랩의 V3를 내려받으려면 안랩 공식 웹사이트를 방문하라는 의미다.

또 인터넷 서핑시 평소와 달리 보안카드 번호나 개인정보, 금융정보 등을 요구하는 웹페이지가 노출될 경우에는 그 즉시 사용을 중단하고 한국인터넷진흥원(KISA, 118)이나 금융회사로 문의해야 사고를 미연에 방지할 수 있다.

문 팀장은 “해당 악성파일은 감염 후 인터넷 뱅킹 사이트에 접속 시 대부분의은행 사이트와 매우 유사하게 제작된 사이트를 사용자들에게 보여주기 때문에 일반 사용자들의 경우 감염 여부를 육안상으로 손쉽게 식별해 내기는 어려울 수 있다”며 “이러한 악성파일로부터 자신을 지키기 위해서는 보안패치 생활화, 백신사용 등이 필요하다”고 강조했다.

<이민형 기자>kiku@ddaily.co.kr

이민형
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널