앱이나 웹사이트를 실행할 때마다 사용자가 모르는 사이에 눈에 보이지 않는 수많은 과정이 진행된다. 사용자의 눈에 보이지 않는 곳에서 광고 기업 수십 곳이 사용자의 관심을 끌기 위한 경쟁을 펼친다. 모두 자사 광고가 사용자의 눈앞에 등장하도록 한다. 앱과 웹사이트에 등장하는 각각의 광고에는 종종 사용자가 볼 광고를 판단하기 위한 경쟁이 끊임없이 이어진다. 종종 프로그래마틱 광고(programmatic advertising)라고도 알려진 자동화 광고는 2022년, 4,180억 달러를 지출한 대규모 사업이다. 그러나 광고 악용이 만연하기도 하다.
2023년 1월 19일(현지 시각), 보안 연구팀은 광범위한 영역에서 발생한 새로운 온라인 광고 생태계 공격으로 수백만 명이 피해를 보았으며, 기업 수백 곳을 상대로 사기 행위로 돈을 탈취한 데다가 광고 제작자가 거액의 이익을 손에 쥐었을 가능성을 밝혔다. 배스트플럭스(Vastflux)라고 알려진 해당 공격은 사기와 봇 활동을 집중적으로 다루는 보안 기업인 휴먼 시큐리티(Human Security) 연구팀이 발견했다. 배스트플럭스는 스마트폰 1,100만 대에 피해를 주고는 앱 1,700여 개를 모방하고는 출판 기관 120곳을 겨냥했다. 배스트플럭스 공격이 정점에 달했을 당시 사이버 공격 세력은 하루 동안 광고 요청을 120억 건 보냈다.
휴먼 시큐리티 데이터 과학자 겸 배스트플럭스 사건 최고 연구원인 마리온 하비비(Marion Habiby)는 “처음 배스트플럭스 공격 건수 결과를 확인했을 때, 그 수치를 여러 차례 확인해야 했다”라고 말했다. 하비비는 해당 공격이 휴먼 시큐리티가 발견한 가장 교묘하면서도 공격 범위가 가장 넓은 공격이라고 언급했다. 하비비는 “공격 세력이 훌륭하게 조직을 구성하면서 계속 공격 행위가 감지되지 않도록 깊이 노력을 펼쳤다. 그와 동시에 공격이 최대한 실행되도록 하면서 큰돈을 모았다”라고 설명했다.
온라인 광고와 모바일 광고는 복잡하고, 종종 불분명한 사업이다. 하지만 광고 사업에 개입한 이들은 큰돈을 창출할 수 있다. 매일 앱과 웹사이트에 광고 수십억 건이 등장한다. 광고 기업이나 광고 네트워크는 광고 게재 비용을 부담하며, 사용자가 광고를 클릭하거나 볼 때 돈을 벌어들인다. 그리고 광고 게재와 광고 매출 달성 과정 상당 부분이 웹사이트나 앱 실행 시 발생한다.
배스트플럭스는 휴먼 시큐리티 연구원 비카스 파타사라티(Vikas Parthasarathy)가 2022년 여름, 다른 보안 위협을 조사하던 중 처음 발견했다. 하비비는 배스트플럭스 광고 사기 과정에 다양한 단계가 포함되어 있으며, 배스트플럭스 배후에 있는 공격 세력은 보안 감지를 피하려 광범위한 조처를 택했다.
우선, 배스트플럭스 공격 세력은 인기 앱을 공격 대상으로 삼고는 앱 내 광고 노출 공간을 구매하려 한다. (휴먼 시큐리티 연구팀은 현재 사건을 조사 중이므로 공격 세력의 이름을 정하지 않았다.) 하비비는 “사이버 공격 세력은 스마트폰이나 앱 전체를 탈취하려 하지 않았다. 말 그대로 광고 노출 공간 한 곳을 구매하면서 공격을 개시했다”라고 설명했다.
배스트플럭스가 광고 입찰 경쟁에 성공하면, 공격 세력은 악성 자바스크립트 코드를 광고에 주입하고는 영상 광고 여러 편이 상단에 등장하도록 한다.
한마디로 말하자면, 공격 세력은 광고 시스템을 가로채고는 공격 대상이 된 앱 접속 시 스마트폰으로 광고를 볼 수 있도록 한다. 실제로 최대 25개에 이르는 광고가 광고 게재 공간 상단에 등장한다. 또, 공격 세력은 각각의 광고 노출 비용을 부담하며, 스마트폰으로는 한 번에 광고 하나만 보인다. 그러나 사기성 광고 노출 과정이 진행되면서 평소보다 스마트폰 배터리 저하 속도가 더 빨라진다.
하비비는 “광고가 사라질 때마다 공격이 중단돼, 공격 사실을 발견하기 쉽지 않다는 점에서 교묘한 공격이다”라고 설명했다.
공격 규모는 매우 큰 편이다. 2022년 6월, 공격 세력의 활동이 최고조에 이르렀을 당시 매일 광고 게재 요청을 120억 건 보냈다. 휴먼 시큐리티는 배스트플럭스가 기기 1,100만 건에 영향을 미쳤다고 추산한다. 배스트플럭스 공격 발생 시 스마트폰 사용자가 할 수 있는 일은 거의 없다. 정상적인 앱과 광고 과정이 발생과 사기 행위가 큰 차이가 없기 때문이다.
[사진=Freepik]
마이클 에이시만(Michael Aciman) 구글 대변인은 구글이 무효 트래픽을 엄격하게 반대하며, 자사 네트워크에 배스트플럭스가 노출된 사례는 제한적이라고 주장했다. 에이시만 대변인은 “구글은 보고된 발견 사항을 자세히 평가하며, 즉시 대응한다”라고 전했다. 애플은 와이어드의 문의에 답변하지 않았다.
모바일 광고 사기는 여러 형태로 발생할 수 있다. 배스트플럭스의 사례를 보았을 때, 사기 유형은 광고 게재와 스마트폰 대규모 동원, 광고 클릭 횟수 높이기, 가짜 소프트웨어 개발 키트 생성 등이 있다. 배스트플럭스 공격 노출 시 배터리 소모 속도가 빠르며, 데이터 사용량이 급증하거나 임의의 시간에 화면이 실행되는 것 모두 광고 사기로 영향을 받고 있다는 징조일 수도 있다. 2018년 11월, 미국 연방수사국(FBI)의 최대 규모 광고 사기 조사로 악명이 높은 광고 사기 작전을 펼친 남성 8명을 기소했다. (휴면 시큐리티를 포함한 여러 테크 기업이 해당 조사에 참여했다.) 2020년, 우버는 대다수 사용자가 수많은 클릭을 통해 자사 앱을 설치하도록 더 많은 인력을 동원한 뒤 광고 사기 소송에서 승소했다.
배스트플럭스 사례를 보면, 이견을 제시할 수 있으나 가장 큰 영향을 받은 이들은 광고 업계 전반에 널리 개입한 이들이다. 광고 사기는 광고 기업과 광고를 보여주는 앱에 모두 영향을 미쳤다. 휴먼 시큐리티 위협 심층 분석 수석 관리자 잭 에드워드(Zach Edwards)는 “공급망을 통해 여러 조직에 광고 사기를 펼치려는 시도가 이루어졌다. 간혹 공격 대상마다 택한 전략이 달랐다”라고 말했다.
배스트플럭스 공격 세력은 스마트폰 한 대로 최대 25건의 광고 요청을 동시에 보내는 등 의심스러운 행위와 같이 다양한 전략을 택했다. 앱 1,700개의 광고 상세 정보를 복제해, 여러 앱에서도 사용 시에만 광고를 보여주는 것처럼 위장했다. 또한, 배스트플럭스는 광고를 수정해 특정 태그를 광고와 연결하도록 하면서 보안 감지를 피했다.
배스트플럭스 관련 조사에 부분적으로 참여한 콤캐스트(Comcast) 소유 광고 기업 프리휠(FreeWheel)의 시장 품질 사장 매튜 카츠(Matthew Katz)는 공격 세력이 갈수록 교묘해진다고 분석했다. 카츠 사장은 “배스트플럭스는 유독 복잡한 광고 사기이다”라고 말했다.
다수 연구원이 밝힌 바와 같이 배스트플럭스에는 상당수 인프라와 계획이 포함됐다. 에드워드는 배스트플럭스가 여러 도메인을 이용해 공격을 개시했다고 설명했다. 배스트플럭스라는 이름은 해커 세력이 여러 가지 IP 주소를 한 가지 도메인 명칭에 연결하는 공격 유형인 패스트 플럭스(fast flux)와 공격에 악용된 인터렉티브 광고 협회(IAB) 내부 단체가 개발한 영상 광고 템플릿인 VAST에서 유래됐다. IAB 테크 랩(IAB Tech Lab) 전무이자 제품 및 최고 운영 담당자는 VAST 4 버전을 사용한다면, 배스트플럭스와 같은 광고 사기를 예방하는 데 도움이 되며, 광고 게재 기업의 다른 기술적 조치와 광고 네트워크가 광고 사기 효과를 줄이는 데 도움이 될 것이라고 전했다. 하비비는 “배스트플럭스는 항상 관찰했던 단순한 사기 유형에 해당하지 않는다”라고 말했다.
배스트플럭스를 조사한 연구팀은 배스트플럭스 배후 세력이나 광고 사기로 돈을 버는 방법 등을 자세히 공개하기를 거부하면서 현재 조사 중인 사안이라고 언급했다. 단, 배스트플럭스 배후 세력이 2020년, 광고 사기를 시도한 사실을 발견했다고 전했다. 2020년 당시 공격 세력의 광고 사기 계획은 미국의 부동층 지역 선거에 영향을 미치면서 사용자 데이터를 수집하려 했다는 의혹이 이어졌다.
적어도 지금 당장 배스트플럭스의 사기 공격은 중단된 상태이다. 하지만 2022년 6월, 휴먼 시큐리티를 포함한 일부 기업이 광고 사기 퇴치 대응 협력을 체결하면서 광고 사기 조직과 광고 사기 공격 퇴치에 적극적으로 나서기 시작했다. 2022년 6월과 7월, 배스트플럭스 때문에 별도의 피해 3건이 발생해, 공격 세력의 광고 요청 건수가 하루에 10억 건을 넘어섰다. 휴먼 시큐리티는 공식 블로그에 “휴먼 시큐리티는 배스트플럭스 배후에 있는 악의적인 공격 세력의 존재와 다른 악의적인 조직과 사기 완화를 위해 긴밀히 협력한 사실을 확인했다”라고 작성했다.
2022년 12월, 배스트플럭스 배후 세력의 서버가 차단된 후 휴먼 시큐리티 측은 공격이 발생한 사례를 발견하지 못했다. 휴먼 시큐리티 CEO 타머 하산(Tamer Hassan)은 여러 행위로 광고 사기를 막을 수 있으며, 그중 일부는 이미 법률 집행 기관의 대응으로 이어질 수 있다고 전했다. 그러나 중요한 것은 돈이다. 공격 세력이 광고 사기를 중단한다면, 범죄 수익도 감소한다는 의미이다. 하산은 “경제적 경쟁에서 이기는 것이 사이버 범죄에 맞선 업계에서 이길 방법이다”라고 언급했다.
** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202302/4533_5978_3519.jpg)
뉴스레터 신청