워드프레스 기반 웹사이트에 월드컵 관련 스팸 공격 발생

댓글 자동 생성해주는 템플릿 활용해 비슷한 댓글 ‘융단 폭격’
특정 사이트들 홍보해주는 메시지가 대부분...월드컵 내기 사이트

[보안뉴스 문가용 기자] 워드프레스 기반의 웹사이트들이 스팸 캠페인의 표적이 되고 있다. 이 스팸 캠페인의 목적은 사용자들이 특정 사이트로 가는 링크를 클릭하도록 만드는 것인데, 해당 사이트들은 2018년 피파 월드컵 게임과 관련된 내기를 진행할 수 있는 곳이었다.

[이미지 = iclickart]

이러한 공격자들의 움직임은 보안 업체 임퍼바(Imperva)가 최근 발견한 것으로, 처음에는 아무런 의미 없는 텍스트 메시지를 마구 뿌려대는 봇넷을 하나 탐지했다고 한다. 이 텍스트 메시지는 여러 블로그나 뉴스 매체에서 댓글들을 마구 퍼오는 템플릿으로 구성되어 있었다.

분석을 더 해보니 이 스팸봇은 워드프레스를 기반으로 한 여러 사이트들을 공격하고 있었으며, 특히 같은 인터넷 식별자(URI)에 댓글들을 계속해서 남기고 있었다. 웹사이트가 취약점을 가지고 있든 말든, 아무런 구분 없이 댓글 폭격을 날리고 있었던 것이었다.

이 공격에 사용되고 있던 템플릿은 최소 2013년부터 활용되어 왔던 것으로, 스팸 공격자들이 약간씩 다르게 보이는, 그러나 동일한 메시지를 쉽게 만들어낼 수 있게 해주는 자동화 툴의 일종이다. “오늘 인터넷을 두 시간 했어”라는 문장을 한 사이트에 사용했다면, 다른 사이트에는 시간을 살짝 바꿔 “오늘 인터넷을 세 시간 했어”라는 댓글을 단다.

임퍼바는 분석을 이어갔다. “이 댓글들은 결국 다양한 사이트들을 광고하는 것을 목적으로 하고 있었습니다. 수집해서 종합해보니, 상위 10개의 링크들은 전부 월드컵과 관련된 내기 사이트였습니다. 그 중 8개는 한 개의 사이트에 대한 광고인 것으로 보아, 이 봇넷이 광고하는 모든 사이트들 사이에 어떤 연관성이 있을 수도 있다는 의심이 듭니다.”

스팸 메시지를 뿌리고 있는 봇넷 자체는 약 1200개의 고유 IP 주소로 구성되어 있었다. 이는 현대 봇넷 기준으로 그리 큰 것은 아니다. 또한 이 봇넷은 URL 단축 서비스와 URL 리다이렉션 등 광고 링크의 본래 URL을 숨기기 위한 기술을 활용하고 있기도 했다.

이 봇넷은 월드컵이 시작되기 몇 주 전만 해도 원격 코드 실행 공격 등에 활용되고 있었다고 한다. 당시도 공격 대상은 워드프레스 사이트였다. 하지만 월드컵 개최와 함께 스팸 공격으로 전환됐다. 이런 것으로 보아 봇넷이 현재 ‘대여 형태’로 범죄자들 사이에서 거래되고 있을 가능성이 높다.

임퍼바의 보안 전문가인 조나단 아자리아(Jonathan Azaria)는 “현재 광고되고 있는 사이트들의 접속량이 늘어나면 이득을 보는 누군가가 공격의 배후에 있는 것으로 보이는데, 그 사람이 봇넷의 주인일 수도 있고, 봇넷을 대여한 사람일 수도 있다”고 말한다.

댓글 스팸은 다른 유형의 스팸 공격과 마찬가지로 오래된 공격 형태다. 그러나 인기가 식을 줄을 모른다. 공격자만이 아니라 많은 마케팅 업체에서도 활용하고 있기 때문이다. 댓글 스팸, 그것도 형태가 살짝살짝 달라지는 스팸은, 효과가 굉장히 좋은 것으로 알려져 있다.

워드프레스 측은 댓글 스팸에 대해 ‘어쩔 수 없는 삶의 현상’이라고 표현했다. 특히 블로그를 운영하고 있는 사람들에게는 피해갈 수 없는 현실이라며, 이러한 문제를 최대한 완화시키는 여러 방법들을 소개하고 있다.

“가장 흔한 방법은 IP 주소들을 블랙리스트로 만드는 겁니다. 스팸 메시지들은 전부 특정 IP들에서부터 오거든요. 이런 것들을 하나하나 늘려나가서 스팸을 덜 받는 것이죠. 이런 기능을 가진 플러그인들은 이미 존재합니다. 또한 봇이 만든 메시지와 사람이 작성한 메시지를 분간해주는 플러그인도 있고요.” 워드프레스 측의 설명이다.

아자리아 역시 “오래된 문제인 만큼 다양한 접근법이 존재한다”고 설명한다. “플러그인 하나로 간단히 해결되는 경우도 있지만, 캡챠나 봇 탐지 솔루션, 항목화 툴이나 웹 애플리케이션 방화벽을 고루 섞어서 문제를 해결해야 할 수도 있습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)