동영상 파일 변환 사이트에서 악성코드 유포

맬버타이징(malvertising)

6.26일 발표된 Malwarebytes의 보고서에 따르면, onlinevideoconverter.com의 광고를 통해 악성코드가 뿌려졌다. 이 사이트는 유튜브 동영상을 mp4, mp3 등 파일로 변환하여 다운로드하는 일을 한다. 한국어 서비스도 제공하므로 우리 나라 이용자도 적지 않을 것이다.

Youtube 동영상을 다운로드하는 것은 저작권 문제도 있지만, 근래에는 유튜브 자체적으로 유료 다운로드 서비스를 시작해서 더욱 적극적으로 차단하고 있다. 때문에 이런 앱은 Google Play에는 등록되지 못하며, Microsoft Store에 등록된 앱들은 초기에는 잘 작동하다가 금방 차단되는 일이 반복되고 있다.

그래서 비공식적으로 유튜브 영상을 다운로드하려면 온라인 파일 변환 사이트를 이용할 수 밖에 없다. 문제는 이런 사이트들이 대부분 보안에 취약하다는 것이다. 애초부터 악의적인 피싱(phishing) 사이트로 만들어진 경우도 있고, 허술한 관리로 인해 해킹을 당해 악성 사이트로 탈바꿈하는 경우도 있다.

이번 경우에는 이 사이트의 광고 서버가 해킹 당해 악성 광고가 게재됐고, 이를 본 사용자의 PC는 악성코드에 노출됐다. 이처럼 악성 광고를 이용하는 해킹 수법을 맬버타이징이라고 한다.

맬버타이징은 대부분 허술한 광고 네트워크를 이용해 이루어진다. 구글, 아마존, 네이버 등 신뢰할 수 있는 광고 네트워크에서 문제가 발생하는 경우는 드물다. 군소 광고 네트워크, 사이트 자체적으로 운영하는 광고 서버 등이 흔히 해킹의 표적이 된다.

무료로 운영되는 사이트에서 광고 게재는 불가피하다. 광고 자체가 유용한 정보이기도 하다. 그러나 방문객에게 피해를 입힐 수도 있으므로, 무분별한 광고 게재는 피해야 한다.

GreenFlash Sundown exploit kit

이 사이트의 경우 gif 이미지로 된 애니메이션 광고에 악성코드가 있었다. 광고를 클릭할 필요도 없다. 정상적인 파일 변환 페이지와 함께 익스플로잇 키트가 있는 페이지가 함께 열린다.

이용된 익스플로잇 키트는 그린플래시 선다운이었다. 이것은 신종은 아니다. 원래 한국에 집중돼 있었는데, 최근 북미와 유럽 쪽으로 급속 확산 중이라고 한다.

익스플로잇 키트는 기기의 취약점을 탐색해서, 이를 이용해 payload(악성코드 본체)를 떨구는 악성코드이다. 스파이웨어, 랜섬웨어, 가상화폐 채굴 코드 등 어떠한 악성코드라도 설치될 수 있다.

이에 대처하는 방법은 업데이트 뿐이다. 특히 브라우저와 어도비 플래시에 신경써야 한다. 우리가 웹 서핑을 하다가 마주칠 수 있는 위협은 악성 광고 뿐만이 아니다. Windows update history를 한번 살펴보라. 특별하게 조작된 웹 페이지를 보기만 해도 해킹 당할 수 있는 취약점이 매달 쏟아져 나온다.

다행인 것은, 우리가 마주치는 익스플로잇 키트는 대부분 널리 알려지고 이미 패치된 취약점을 공략한다는 점이다. 따라서 업데이트만 잘하면 너무 걱정할 필요는 없다. 제로데이 취약점은 VIP를 표적으로 정부 기관이나 고급 해커들이 사용한다. 함부로 사용하면 정체가 드러날 수 있기 때문이다. 패치 발표 이후에 이를 악용하는 악성코드가 급증하는 경향이 있다.


참고 자료
  1. GreenFlash Sundown exploit kit expands via large malvertising campaign

댓글

이 블로그의 인기 게시물

엑셀 필터 상태에서 복사와 잘라내기

가정에서도 망 분리를 해보자

잉크젯 프린터 전원은 항상 켜 놓아야 좋다