2008.06.10
출처 : 안철수연구소 ASEC리포트 5월호
스플로그(Splog)의 탄생
1인 미디어인 블로그(Blog)는 누구나 쉽게 자신의 생각을 다른 사람에게 전달할 수 있다는 특징으로 인해 인터넷 상에서 매우 인기 있는 서비스 중 하나로 자리 매김 했다. 하지만 이러한 점을 돈벌이에 악용하는 블로그 들이 하나 둘씩 생겨나기 시작했다. 이러한 블로그는 스팸(Spam)과 블로그(Blog)를 합성한 스플로그(Splog)로 지칭된다. 스플로그는 정보 공유라는 기본 목적과는 달리 대형 검색 포탈사이트의 실시간 인기 검색을 통해 검색될 수 있는 게시물을 작성하거나 다른 사람이 작성한 게시물을 무단으로 가져다 게시해 사용자의 접속을 유도하고 취약점(Exploit), ActiveX 컨트롤, 직접 다운로드 등의 다양한 방법을 이용하여 스파이웨어(Spyware)를 설치하고 제휴사로 일정 금액을 받거나 사용자에게 결제를 유도하여 수익을 거두는 형태로 운영되고 있다.
[그림 1] 국내에서 발견된 스플로그(Splog)
외국의 한 통계에 따르면 하루에 약 3000~7000개의 새로운 스플로그가 생겨나고 있다고 한다. 하지만 검색 포탈 사이트에서 스플로그는 검색이 되지 않도록 차단하는 정책을 운영하고 있어 이를 통한 피해는 점차 줄어들고 있는 추세지만 게시물에 댓글로 스플로그 접속을 유도하는 등 다양한 채널을 통해 스플로그의 접속을 유도하는 시도가 끊이질 않고 있다.
블로그 스팸의 등장과 진화
스플로그가 검색 포탈 사이트등에서 차단되어 효과가 반감되자 시도되고 있는 새로운 방법이 구독자와의 의사 소통 및 정보 공유를 위해 제공되는 서비스인 방명록(Guestbook), 댓글(Comment), 트랙백(Trackback) 등을 악용하는 것이다.
초기에는 단순히 스파이웨어를 배포 또는 음란 사이트의 주소를 링크하는 식의 방명록 글이나 댓글이 주를 이루었다. 또한 스팸 글을 등록하는 컴퓨터 역시 적어 스팸을 유포하는 곳에 대해 스팸 필터를 적용하기 용이했으며, 등록되는 스팸 수 역시 제한적이어서 관리가 쉬웠다. 그러나, 최근에는 자동화된 툴을 이용하여 트랙백에 스파이웨어를 배포하는 사이트를 대량으로 등록하는 형태를 띄기 시작했다. 이런 트랙백을 클릭하면 마치 나의 컴퓨터가 심각한 바이러스에 감염된 것 같은 경고창이 실행된다.
[그림 2] 음란/불법 사이트 접속 유도 댓글
[그림 3] 스팸 트랙백 클릭시 나타나는 팝업창
그리고 나의 컴퓨터에 바이러스가 있다는 것을 눈으로 직접 보여준다. 하지만 이 윈도우는 실제 안티 바이러스 프로그램이 아닌 단순 웹페이지로 시스템 검사 기능을 수행할 수 없으며 감염되었다는 내용 역시 100% 허구이다. 하지만 일반 사용자는 이를 확인할 방법이 없어 이를 해결하기 위해 유료 결제 후 치료를 선택해 금전적 피해를 입을 수 있다.
[그림 4] 허위로 바이러스에 감염되었다는 윈도우를 노출함
또한 스팸 필터 적용을 어렵게 하기 위해 다수의 컴퓨터를 사용하여 공격을 하고 있으며, 현재 블로그가 스팸 필터를 피해가는 여러 가지 장치들을 우회하기 위한 여러 가지 시도를 하고 있다. 국내 블로그의 경우 영문으로만 된 댓글이나 트랙백을 받으면 등록되지 않도록 하는 영문 스팸 방지 필터 기능이 있는데 이를 우회하기 위해 자동 번역기로 영문을 단순 번역해 [그림 5]와 같이 "너는 위치가 우수한 있는다", "위치에 그것을 중대한 일을 좋아했다!", "저에서 유사한 역사는 이였다."등과 같이 의미 없는 제목의 스팸 트랙백을 대량으로 등록한다. 즉, 지역적 특성을 고려해 진화하고 있다.
[그림 5] 자동 번역기를 통해 단순 번역된 스팸 트랙백
[그림 5]를 살펴보면 트랙백을 등록한 컴퓨터의 IP주소가 모두 다른 것을 확인할 수 있는데 이는 스파이웨어(Spyware)나 봇(Bot)등에 감염된 좀비 컴퓨터를 통한 지능적인 대량 공격임을 알 수 있다. 한번의 공격을 통해 적게는 몇백, 많게는 수천의 트랙백이 동시에 제각기 다른 IP주소로 등록 되어 이에 대해 스팸 필터를 적용하기도 매우 어렵다.
이런 대량 공격은 블로그 서비스를 제공하는 회사, 블로그를 운영하는 개인, 블로그가 입주되어있는 웹호스팅 회사에 대량의 트래픽 유입과 서버 과부하를 일으켜 정상적인 서비스를 할 수 없도록 하는 또 다른 문제를 야기한다.
[그림 6] 대량 스팸 공격으로 서비스 이상에 대한 공지문
이러한 공격을 당한 블로그는 본인의 의도와는 상관없이 스파이웨어를 배포하고, 음란 사이트로 연결하는 블로그가 된다. 과거엔 스플로그를 운영하는 곳에서만 배포되던 스파이웨어가 오늘날엔 어떤 블로그든 스파이웨어를 배포하는 블로그로 바뀔 수 있으므로 이를 예방하기 위해 다음과 같은 절차가 필요하다.
- 가급적 최신 스팸 필터/삭제 플러그인을 적용한다.
- 스팸 등록 IP를 스팸 필터로 차단한다.
- 스팸으로 등록 문자열중 반복되는 문장을 차단 문자열로 지정한다. 단순 단어
등록시 스팸이 아닌 정상적인 글 역시 스팸으로 차단될 수 있기 때문이다.
- 만약 더 이상 사용하지 않는 블로그가 있을 경우 이를 폐쇄해 스플로그로 악용되지
않도록 한다.
'AhnLab 보안in' 카테고리의 다른 글
[ASEC리포트 5월호]우리집 무선랜, 해킹 경유지로 사용될 수 있다. (0) | 2020.04.05 |
---|---|
MSN 메신저로 계정 수집하는 피싱 사이트 주의 (0) | 2020.04.05 |
Adobe사 고소장 접수로 인한 안내문 사칭한 이메일 악성코드 확산 주의 (0) | 2020.04.05 |
[ASEC리포트 4월]트레이 아이콘 시스템 경고 위장한 클릭커-메이크얼릭 2배 증가 (0) | 2020.04.04 |
[ASEC리포트]해커들, 시스템보다 웹사이트 취약점 노려 악성코드 배포 (0) | 2020.04.04 |