지난 2012년 12월 첫째주에 인터넷 배너광고 업체인 드림서치(DreamSearch)라는 광고업체의 배너가 해킹을 당해 배너에 악성링크가 삽입, 광고를 이용한 정상적인 웹사이트 약 30여개가 악성코드 유포에 이용된 사례가 빛스캔(대표 문일준)에 의해 확인된 바 있었다. 그러나 1년 2개월이 지난 시점인 2014년 1월 18일~19일에 걸쳐 드림서치의 공용링크를 통해 또 다시 악성코드 감염에 이용된 정황이 다시 확인되어 이용자들의 각별한 주의가 요구된다.
 
공격자들은 항상 악성코드 감염 효과를 극대화하기 위해 노력하고 있다. 웹 서비스 방문 만으로도 공격이 발생되고 감염이 되는 드라이브바이다운로드(Drive by download)를 위해 사용자 환경의 취약성을 끊임없이 고민해 공격을 확대하고 있는 상황이다.
 
빛스캔 측은 “현재 공격은 자바 취약성 7종, IE 취약성 1종, 플래시 취약성 1종과 같이 최대 9가지의 공격이 웹사이트 방문 즉시 발생되는 상황”이라며 “단지 방문만으로도 감염이 되는 상황에서 공격자들의 주된 목적은 최대한 많은 사용자에게 감염 시키는 것”이라고 근본적인 대책을 촉구했다.
 
빛스캔에 따르면, 감염 확대를 위해서 공격자가 취하는 전략은 다음과 같다.
 
1. 방문자가 많은 사이트를 직접 해킹한다. 이후 소스코드 변경을 통해 방문즉시 실행하도록 한다.
2. 광고 및 배너, 검색 서비스와 같이 다른 여러 웹 서비스들에 포함되어 있는 공용 서비스를 공격하여 권한 획득을 한 이후 소스를 변경한다.
 
1, 2의 전략은 모두 보다 많은 사용자 PC를 좀비 PC로 만들기 위한 전략이라 볼 수 있다. 지금까지 대규모 방문자가 있는 사이트들에 대한 공격도 수시로 발생 되었었고, 공용 서비스에 대한 공격도 지속해서 발생 되고 있다.
 
파밍이나 원격 제어 목적의 악성코드를 감염시키기 위해 국내 웹사이트는 일상적인 감염통로로 활용 된지 오래됐다. 지난 2012년 12월 1주차 빛스캔 PCDS (Pre Crime Detect Satellite) 관찰을 통해 드림서치(DreamSearch)라는 광고업체의 배너가 해킹을 당해 배너에 악성링크가 삽입, 광고를 이용한 정상적인 웹사이트 약 30여개가 악성코드 유포에 이용된 사례가 확인된 것이다. 여러 사이트에 포함된 공용링크를 수정함으로써 최소 30여개 이상의 웹사이트에서 동일한 악성코드를 방문 즉시 감염 시키는 효율적인 형태로 이용된 것이라고 빛스캔 측은 설명한다.
 
문제의 원인 해결과 관리가 되어야 위험을 줄일 수 있다. 그러나 1년 2개월이 지난 시점인 2014년 1월 18~19일에 걸쳐 인터넷 배너광고 업체인 드림서치의 공용링크를 통해 또 다시 악성코드 감염에 이용된 정황이 다시 확인된 것이다. 영향력 측면에서 최소 400여 곳의 웹 서비스에 영향을 미칠 정도로 대규모로 확산 되었다는 점이 차이라 할 수 있다.
  
이 업체 PCDS 영향력 판정결과 최소 400여 개의 웹 서비스가 영향을 받는 것으로 나타났으며, 대부분 쇼핑몰 등 다양한 중소업체에서 공용모듈로 사용하고 있었다. 쇼핑몰들의 다수는 국내 웹 서비스 전체 순위에서 500위 이내에 포함되는 곳들이 다수 포함 되어 있었고 방문자 비율이 높은 곳들이 상당수 포함 되어 있어서 공격에 의해 좀비 PC로 이용되어 2차 피해를 발생 시키거나, 파밍 관련된 피해가 높은 수준으로 나타날 가능성이 있다.
 
악성 링크 삽입은 해당 서버에 대한 권한을 공격자가 확보하고 있다는 것을 의미하며, 광고 배너를 운영하는 서버에 대한 충분한 보안 검토 및 대책을 강구하지 않는다면 악성링크의 삽입은 앞으로도 꾸준히 반복될 수밖에 없다. 더욱이 그 피해는 드림서치가 아닌 광고를 집행하는 정상적인 웹사이트를 방문하는 일반인이라는 점에 더욱더 심각하다고 볼 수 있다.