온라인 쇼핑이나 기사 페이지를 가득 채운 광고 때문에 귀찮았던 경험, 한 번 쯤은 있으시죠? 집중해서 기사를 읽고 있는데 결정적인 문단에 광고가 배치되어 있다든지, 무심코 마우스를 클릭했는데 음란한(?) 광고 페이지가 팝업되어 난감했던 기억도 있으셨을 겁니다.
그런데 이러한 온라인 광고가 사용자의 인터넷 이용에 방해가 되는 것을 넘어 보안에 큰 문제를 불러올 수 있다는 점, 알고 계셨나요?
애드웨어의 공격
최근 등장한 애드웨어(Adware) 프로그램은 정상적인 컴퓨터 사용이 어려울 정도로 사용자를 무차별적인 광고에 노출시키고 개인 정보와 같은 중요한 데이터를 빼돌립니다. 특히 사용자 동의 없이 추가 소프트웨어를 설치하는 애드웨어 유형까지 생겨나기도 했죠. 동의하지 않았는데, 갑자기 다운로드가 시작되면 정말 화나는 상황이겠죠?!
기업 역시 애드웨어 감염의 피해자입니다. ‘2016 시스코연례보안보고서(2016 Cisco Annual Security Report)’에 따르면 설문 참여 기업의 70% 이상이 애드웨어 감염으로 고생하고 있다고 토로했습니다.
단순 광고일 뿐인데..? 개인 정보 유출의 시작입니다.
애드웨어의 유형은 ‘광고 주입형 애드웨어(Ad-injector)’, ‘브라우저 하이재커(Browser Hijacker)’ 그리고 ‘유틸리티(Utilities)’로 총 3가지로 나뉩니다.
이 중, 가장 흔한 ‘광고 주입형 애드웨어(ad-injector)’는 사용자가 브라우저에서 여는 모든 페이지에 광고를 심어둡니다. 이런 광고 주입형 애드워드는 사용자의 정보를 유출시키기도 합니다. 온라인, 모바일 등 디지털 활동과 관련된 모든 개인 정보가 여러 서버로 유출되는 것이죠. 유출되는 정보는 사용자 이름부터 개인 취향, 사는 곳 심지어 정치적 성향 등도 포함된다고 하네요.
골치 아픈 애드웨어, 대처할 수 있는 뾰족한 수가 없을까요?
이중으로 확인, 또 확인하세요
현재는 광고 차단기(ad-blocker) 혹은 스크립트 차단기 등이 애드웨어 문제를 해결할 수 있는 수단으로 논의되고 있지만, 악성 광고의 주입 여부가 확인되지 않아 애드웨어 감염 여부를 알아낼 수 없기 때문에 근본적인 해결책은 아닙니다.
따라서 시스코의 보안 전문가들은 이러한 프로그램 사용과 함께 평소 신뢰할 만한 사이트인지 잘 살펴볼 것을 추천합니다. 직원들 역시 이상 징후를 눈여겨보고 문제가 발견되는 즉시 관련 부서에 보고할 수 있도록 사내 교육을 실시하고 체계를 마련한다면 앞으로 보다 효과적으로 애드웨어 문제에 대처할 수 있을 것입니다.
이번 포스팅은 시스코의 멀에워 애널리스트 베로니카발레로스(Veronica Valeros)가 작성한In plain sight: Credential and data stealing adware를 바탕으로 준비되었습니다.
