배너광고 무심코 클릭했다간, 연동된 모든 사이트가…

KISA '대응 보안 가이드라인'
특정 광고 서버 장악땐 연동된
모든 사이트 접속자 공격 가능
파일 악성여부 점검·모니터링
계약정보 허위여부 확인 필수

  • 프린트
  • 페이스북
  • 트위터
  • 카카오스토리


배너광고 무심코 클릭했다간, 연동된 모든 사이트가…


웹사이트 상의 배너 광고를 이용한 악성코드 배포가 기승을 부리면서 정부가 가이드라인을 내놓고 점검에 나선다.

20일 한국인터넷진흥원(KISA, 원장 백기승)은 '온라인 광고배너를 통한 악성코드 유포대응 보안 가이드라인'를 마련해 관련 업계에 배포했다고 밝혔다. 온라인 광고배너를 이용해 악성코드를 배포한 사례는 꾸준히 발생하고 있다. 지난 6월에는 휴대전화 관련 대형 커뮤니티 '뽐뿌'를 비롯해 일부 커뮤니티에 표출된 광고 제공 서버의 취약점을 이용해 랜섬웨어가 유포돼 피해를 호소하는 사례가 다수 보고된 바 있다. 당시 뽐뿌 운영진은 "특정 광고배너를 운영하는 모든 사이트에 감염이 된 것으로 판단된다"고 밝혔다. 해외에서는 뉴욕타임스나 BBC 등 유명 언론사 홈페이지의 배너 광고를 이용하는 사례도 등장했다.

광고 배너를 이용한 악성코드 배포는 웹사이트 운영자가 직접 관리하는 다른 요소와 달리 특정 광고 서버를 장악하면 여기에 연동된 모든 사이트 접속자를 공격할 수 있다는 위험성이 있다. 악성코드(멀웨어)를 광고(애드버타이징)에 결합해 공격한다는 의미에서 '멀버타이징(Malvertising)'이라고 불린다. 인터넷진흥원은 온라인 광고가 방문자의 관심을 주목할만한 주제나 방문자가 많은 사이트에 게시되면서 악성코드 유포를 위한 최적의 환경 조건을 제공한다고 보고 대응에 나섰다.

가이드라인의 주요 내용을 보면 우선 미디어랩이나 매체 등 사업자는 신규 계약 시 광고주의 신뢰성을 평가하고, 계약 정보의 허위 여부를 확인해야 한다. 악성 링크를 삽입한 위장 광고를 정상적인 방법으로 삽입하거나 허위 내용을 통해 향후 추적을 회피할 위험이 있기 때문이다.

가장 중요한 부분은 광고 서버에 대한 점검이다. 먼저 기술적으로는 △광고 페이지 링크·파일의 악성여부 점검 및 지속 모니터링 △네트워크·서버·정보보호시스템 보안 △취약점 점검·조치 등이 필요하다. 또 관리적인 부분에서는 △시스템 운영·관리 상의 원칙 준수 여부 점검 △홈페이지 개발부터 시큐어코딩 등 취약점 관리방안 반영 △보안 전담부서 구성과 관련 교육 실시 △침해사고 대응체계 수립 △경영진의 사회적 책임성 △웹보안 강화 서비스 이용 등을 강조했다.

이재운기자 jwlee@dt.co.kr




[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]


가장 많이 본 기사