인터넷 광고를 이용한 멀버타이징(Malvertising) 기법에 의한 랜섬웨어 주의

랜섬웨어 공격은 크게 스팸 메일과 인터넷 광고를 이용한 멀버타이징(Malvertising) 기법을 통해 이루어지고 있다. 스팸 메일을 이용한 랜섬웨어 감염은 첨부 파일을 실행하거나 메일 본문의 링크를 클릭했을 때 발생한다. 이와 달리 멀버타이징 기법은 인터넷 사이트에 삽입되는 광고를 이용해 악성코드를 유포하는 방식이다. 멀버타이징이란 악성코드(Malware)와 광고(Advertising)의 합성어이다. 

멀버타이징 공격 기법을 좀 더 자세히 살펴보자. [그림 1]과 같이 사용자가 광고가 포함된 웹 페이지를 방문하면, 광고 서버는 정상적인 광고에 악성코드 유포 도구(Exploit Kit)를 포함해 웹 페이지에 전송한다. 이렇게 전달받은 웹 페이지가 사용자의 웹 브라우저에서 실행되면 보안 취약점을 이용한 드라이브 바이 다운로드(Drive-by-download) 방식을 이용해 시스템에 악성코드가 감염된다. 이러한 이유로 사용자는 수상한 파일을 다운로드 하거나 실행한 적이 없음에도 불구하고 악성코드에 감염되는 것이다. 

인터넷 광고는 하나의 광고 서버에서 여러 웹 사이트의 광고를 전송하기 때문에 짧은 시간 동안 다수의 사용자에게 노출되는 특징이 있다. 이 때문에 광고 서버를 이용한 유포 방법은 다른 악성코드 유포 방법보다 파급 효과가 휠씬 크다.

[그림 3]은 멀버타이징 공격 사례에서 확인된 네트워크 정보이다. 여기에서 사이트 ‘www.livead*********.com’은 웹 페이지에 광고를 제공하는 광고 서버로, 이 광고 서버는 사용자의 웹 브라우저에서 요청받은 광고 페이지를 전송한다. 이 광고 페이지는 ‘tom****.com’으로 연결되고, 이 사이트는 다시 악성코드 유포지인 ‘108.**.***.63’으로 연결되도록 작성되어 있다. 최종적으로 연결되는 페이지에서 플래시 파일이 실행되면서 크립트XXX(CrpytXXX) 랜섬웨어 악성코드가 사용자 PC에 다운로드(Drive-by-download)된다. 

랜섬웨어가 감염 PC의 문서, 이미지 등의 파일을 암호화하고 나면 [그림 4]와 같은 랜섬웨어 감염 안내 메시지가 나타난다. 

이와 같이 랜섬웨어 공격의 범위는 점점 증가하고 있다. 랜섬웨어 공격을 예방하기 위해서는 백신 소프트웨어를 설치하고, 엔진 버전을 최신 버전으로 유지해야 한다. 또 운영체제, 브라우저 및 주요 애플리케이션에 최신 보안 업데이트를 적용한다. 발신자가 명확하지 않은 이메일에 포함된 의심스러운 파일의 실행을 자제하고, 보안이 취약한 웹사이트는 방문하지 않는 것이 좋다. 업무 및 기밀 문서, 각종 이미지 등 주요 파일은 주기적으로 백업하고 이들 중 중요 파일을 PC 외의 외부 저장 장치를 이용해 2차 백업을 해둔다. 

한편, V3 제품에서는 아래와 같은 진단명으로 해당 랜섬웨어를 탐지하고 있다. 

<V3 제품군의 진단명>

Win-Trojan/CryptXXX.Gen

<출처>