여러분은 카카오톡 PC 버전이나 비디오 플레이어와 같은 소프트웨어를 다운 받기 위해 구글에서 해당 소프트웨어의 이름을 검색해보신 적이 있으신가요? 아마 대부분 있으실 것으로 생각이 되는데요. 오늘은 여러분들께 구글링을 통해 소프트웨어 다운 받는 것이 굉장히 위험할 수 있다는 것에 대해 말씀드리고자 합니다.
소프트웨어에 대한 구글링이 위험한 이유
우선 왜 위험한지에 대해 살펴보겠습니다. 소프트웨어를 다운로드 하기 위해 구글링을 하면 구글 애즈(Google Ads)를 통해 해당 소프트웨어의 다운로드 링크로 연결되는 사이트가 최상단에 뜨는 경우가 있습니다. 이때 이 사이트가 악성 사이트로 연결되는 광고일 수 있다는 것이죠. 그리고 최근 몇 달간 이러한 악성 광고가 엄청나게 급증하고 있다는 것이 많은 연구들을 통해서 밝혀지고 있습니다.
새로운 위협 중 하나: MalVirt
이러한 급증은 Formbook 및 XLoader를 비롯한 수많은 멀웨어 제품군에서 발생하고 있습니다. 과거에 이러한 멀웨어들은 일반적으로 피싱 및 악성 스팸 메일을 통해 ‘부비트랩’ 매크로가 포함된 마이크로소프트 워드 문서를 첨부하는 방식으로 일반 사용자들의 PC에 침투했다면, 지난 몇 달 동안 구글 애즈는 어도비 리더, 마이크로소프트 팀즈, OBS 및 슬랙과 같은 툴을 사칭하여 합법적인 다운로드로 위장하여 멀웨어를 퍼트리고 있습니다.
글로벌 보안 기업 Sentinel One은 .NET에 구현된 여러 악성 로더를 실행시키는 구글의 고급 멀버타이징(Malvertising) 악성 캠패인에 대해 밝혔는데요, 이러한 로더를 MalVirt라고 명명했습니다. 그리고 이러한 MalVirt 로더는 XLoader로 알려진 맬웨어를 배포하는 데 사용되고 있습니다. 이때 공격자는 XLoader를 사용하여 감염된 장치에서 개인정보 및 기타 민감한 정보를 훔칩니다.
멀버타이징(Malvertising): 사용자들이 단지 웹사이트에 방문하기만 해도 악성코드에 감염될 수 있는 드라이브 바이(Drive-by) 형태를 사용하는 위협의 일종
여기서 MalVirt 로더는 난독화된 가상화를 사용하여 EDR(엔드포인트 탐지 및 대응)을 회피합니다. MalVirt 비콘은 실제 C2 트래픽을 위장하고 네트워크 탐지를 회피하기 위해 Azure 등의 제공업체에서 호스팅하는 명령 및 제어 서버를 미끼로 사용하는데요, 공격자들은 이러한 멀버타이징을 통해 이러한 방법을 사용하여 멀웨어를 계속 배포하고 있는 것입니다.
멀버타이징에 대한 구글의 입장
이러한 상황에 대해 구글은 다음과 같은 입장을 발표했습니다.
지난 몇 년 동안 이 문제를 해결하기 위해 새로운 인증 정책을 시작하고 광고주 인증을 강화했으며 조직적인 사기를 감지하고 방지하는 역량을 강화했습니다. 사기성 광고 활동이 최근 급증하고 있음을 인지하고 있습니다. 이 문제를 해결하는 것이 중요한 우선 순위이며 가능한 한 빨리 이를 해결하기 위해 노력하고 있습니다.
멀버타이징의 실제 예시
지금부터는 구글의 악성 광고를 통해 멀웨어가 배포되는 실제 과정을 함께 살펴볼텐데요, 해당 검색 결과는 2023년 2월 2일 미국에서 검색된 예시임을 알려드립니다.
우선,구글에 "비주얼 스튜디오 다운로드"를 검색해보겠습니다.
구글 애즈를 통해 최상단에 뜨는 링크를 클릭하면 바이러스 토털에서 악성으로 표시되는 downloadstudio.net으로 리디렉션되고 있음을 확인할 수 있습니다.
2023년 2월 2일 목요일 저녁, 이 사이트에서 제공한 다운로드는 VirusTotal을 통해 43개의 맬웨어 방지 엔진에 의해 악성으로 탐지되었습니다.
위에서 살펴보았던 Visual Studio 뿐 아니라 다른 소프트웨어에 대한 검색도 비슷한 결과가 나왔습니다.
멀버타이징의 위험성
구글은 이러한 현상을 이미 인지하고 있었고 지난 수십 년 동안 악성 광고 사이트를 필터링하기 위해 많은 노력을 기울였음에도 불구하고 공격자들의 악성 기법은 계속해서 진화하였습니다. 결국 필터링에 대응할 수 있는 최신 기술을 찾아내고 또 구글이 이를 차단하는 방법을 고안하자마자 공격자들은 이러한 보호를 우회하는 새로운 방법을 알아내는 것이죠.
이에 대해 Sentinel One은 다음과 같이 분석하였습니다.
- Formbook 및 XLoader는 HTTP 요청 사이에서 실제 C2 트래픽을 위장하고, 내장된 목록에서 무작위로 선택된 여러 도메인에서 인코딩 및 암호화된 콘텐츠를 제공한다.
- 이때 도메인 중 하나만 실제 C2 서버이고 나머지는 미끼이다.
- 이때 멀웨어는 합법적인 등록 도메인 또는 사용되지 않는 도메인에 신호를 보낸다.
- 아래의 이미지는 악성 프로그램이 접촉하는 일부 도메인의 스냅샷으로, 관련 등록 날짜 사이의 도메인 시간, 호스팅 공급자가 매우 다양한 것을 알 수 있다.
멀버타이징에 대해 어떻게 대응해야 하는가
현재 구글은 멀버타이저에 대응하기 위한 많은 노력을 기울이고 있습니다. 조속히 구글 애즈 플랫폼 전체에서 이러한 악의적인 행위를 신속하게 진압할 수 있기를 바라며, 우리는 구글이 이런 보안 체계를 강화할 때까지 구글 뿐 아니라 다른 검색 사이트에서 소프트웨어 다운로드를 검색할 때 주의를 기울어야 할 것입니다.
검색 사이트에서 최상단에 검색되는 사이트라고 무턱대고 다운받기 보다는 항상 검증된 공식 사이트에서 다운 받을 수 있도록 주의를 기울이는 노력이 필요할 것입니다.
하지만 기업의 경우, 직원 한 명이 실수로 다운 받은 멀웨어가 기업 전체 네트워크에 퍼질 수 있습니다. 이러한 경우를 내부자 위협이라고 하는데요. 아무리 직원들에게 보안 교육을 하더라도 모든 행위를 통제할 수는 없을 것입니다. 그래서 기업의 보안 시스템을 구축하여 멀웨어를 빠르게 탐지하고 대응할 수 있어야 할 것입니다.
내부자 위협(Inside Threat): 내부자 위협은 회사 자산을 사용할 권한이 있고 합법적인 액세스가 가능한 직원, 퇴사자, 아웃소싱 직원 등의 사용자가 고의로 또는 실수로 자산을 남용한 경우에 발생하는 보안 위협
Total ICT・지능형 보안 서비스 전문 플랫폼 혁신기업, 위드네트웍스
위드네트웍스는 지난 10여년 간 매지니드 보안 시장의 선도 주자로서 축적된 노하우와 인프라를 기반으로 Global New Technology 기반의보안 솔루션을 개발할 뿐 아니라 클라우드, 5G, 와이파이 등 디지털 트랜스포메이션의 기반이 되는 인프라를 구축하여 4차 산업 혁명을 선도하고 있습니다.
또한 다양한 보안 전문 기술/컨설팅 노하우 및 지능형 보안 플랫폼을 통하여 고객사 환경에 최적화된 정보 보안 및 IT 인프라를 구축하고 있습니다. 여러분의 비즈니스를 안정적으로 운영하기 위한 도움과 다가올 보안 이슈에 대응하기 위해 도움이 필요하시다면 언제든지 자유롭게 연락해주세요!
위드네트웍스는 여러분의 비즈니스를 응원합니다!
<참고내용: "Until further notice, think twice before using Google to download software", Dan Goodin, 2023.02>
'보안 Issue' 카테고리의 다른 글
| 챗 GPT를 활용한 5가지 사이버 공격 - 위드네트웍스 (0) | 2023.03.17 |
|---|---|
| 피싱 공격에 활용되는 AI 챗봇 '챗GPT' - 위드네트웍스 (0) | 2023.01.19 |
| Log4j 취약점 1년 후, 여전히 위험하다! - 위드네트웍스 (0) | 2022.12.12 |
| 우크라이나-러시아의 사이버 전쟁이 국경을 넘어가고 있다!– 위드네트웍스 (0) | 2022.03.03 |
| 크리덴셜 스터핑 공격에 대비되어 있습니까? - 위드네트웍스 (0) | 2021.05.31 |
