[디지털데일리 김보민기자] 디지털 분석 도구(툴)는 사이버 공간에서 필수 요소로 꼽힌다. 링크 단축기는 물론, 위치 추적 시스템부터 디지털 광고 플랫폼까지 디지털 분석 툴은 사용자 편의를 높일 수 있는 영역에서 활약하고 있다.

그러나 좋은 목적 만큼 악의적인 사용에 대한 주의 또한 필요한 시점이다. 사이버 공격자들은 방어와 탐지를 회피하고, 악성 캠페인 효과를 극대화하기 위해 이를 활용하고 있는 것으로 나타났다.

6일 구글 맨디언트 블로그에 따르면 사이버 공격자들은 악성 랜딩 페이지의 인터넷주소(URL)를 난독화하기 위해 링크 단축기와 서비스를 사용하고 있다.

2000년 초 등장한 링크 단축기는 인터넷 환경에서 보편적인 툴로 활용되고 있다. 'bit.ly', 'rb.gy' 같이 인기 있는 서비스 외에도, 아마존(a.co)와 구글(goo.gl) 등 글로벌 기업에서도 자체 단축 개념을 선보인 바 있다.

그간 링크 단축기는 광고나 마케팅 측면에서 클릭률을 추적하거나, 매개변수화된 인수가 있는 복잡한 URL이 공유될 때 훼손될 가능성을 줄이는 대안으로 활용돼 왔다. 그러나 이러한 편의성이 역으로 공격자들의 위협 난도를 높이는 데 악용된 것이다.

구글 맨디언트는 대표적인 악용 사례로 2022년 '머디워터(UNC1189)'가 클라우드 스토리지 제공업체에 호스팅된 피싱 문서로 사용자를 유도하기 위해 링크 단축 서비스를 사용하기도 했다고 설명했다. 이 밖에도 2021년부터 2022년까지 SMS 피싱 캠페인에 링크 단축기가 활용된 사례도 있다고 밝혔다. 공격자는 사용자 기기, 위치, 브라우저 검사 등이 중첩된 웹을 통해 최종적으로 신용카드 정보를 훔치려는 양상을 보였다.

지난해에도 유사 위협이 발생했다. 공격자는 악성 페이로드를 호스팅하는 드롭박스 URL에 대한 클릭률 데이터를 추적하기 위해 링크 단축기를 활용했다.

구글 맨디언트는 악성 도구를 생성하는 방식은 간단하다며, 대표적으로 'bit.ly' 서비스를 예시로 들었다. 링크 단축 서비스인 'bit.ly'는 서비스형소프트웨어(SaaS)처럼, 사용량과 기능에 따라 구독 등급을 제공한다. 사용자가 원하는 구독 모델을 선택해 자유롭게 링크 단축 툴을 만들 수 있다는 의미다.

공격자는 가짜 혹은 탈취한 개인정보를 사용해 구독 서비스를 등록한 뒤, 안내에 따라 단축 링크를 생성할 수 있다. SMS 피싱 캠페인에 'bit.ly'를 사용할 경우, 사용자는 링크를 여는 행위만으로 가짜 사이트에 접속해 공격자의 긴급 결제 유도에 걸려들 수 있다. 공격자는 링크 단축 서비스가 제공하는 대시보드 인터페이스를 사용해, 실제 사용자가 얼마나 위협 캠페인에 유도됐는지까지 살펴볼 수 있다.

구글 맨디언트는 우리 일상에 링크 단축기가 보편화된 만큼, 무조건적으로 이를 차단하는 것은 바람직하지 않다고 진단했다. 대신, 공격 행위를 감지할 수 있는 자동 분석 시스템을 구현하는 것을 고려할 필요가 있다고 제언했다. 사용자가 접속하고 있는 단축 URL이 다른 인프라로 연결되거나, 클라우드 호스팅 서비스 실행 파일로 직접 연결되는 경우 이를 자동 탐지하는 방식이다.

구글 맨디언트는 "디지털 세상에서 모든 클릭은 흔적을 남긴다"며 "사전에 조치를 취하고, 영향을 완화하거나 제거하는 방식으로 방어를 구축하는 것이 가능하다"고 강조했다.