|
겨냥한다.
문제는 동일한 광고가 여러 사이트에서 끊임없이 반복될 때다. 마치 광고가 그림자처럼 따라붙는 듯한 불안감을 낳는다. 그 배경에는 이용자의 온라인 행동 정보를 수집·활용하는 ‘쿠키’(Cookie)와 같은 광고 식별 기술이 자리하고 있다.
쿠키는 웹사이트가 이용자의 브라우저에 저장하는 작은 텍스트 파일로, 다시 말해 웹사이트가 이용자의 정보를 잠시 기억할 수 있게 해주는 기술이다. 초기 인터넷 환경에서는 언어 설정 유지, 자동 로그인, 장바구니 저장과 같은 기능 구현이 쉽지 않았다. 그러나 쿠키 기술을 통해 이용자의 방문 이력, 검색 기록, 환경설정 등을 저장할 수 있게 되면서 편의성이 크게 향상하고 개인화한 서비스 제공도 가능해졌다.
하지만 이러한 쿠키의 편의성 이면에는 숨겨진 함정이 있다. 바로 보안에 매우 취약하다는 것이다. 글로벌 컨설팅 기업인 딜로이트의 쿠키 벤치마크 보고서(Cookie Benchmark Study)에 따르면 조사 대상 웹사이트 중 쿠키에 보안 속성을 설정한 비율은 26%에 불과했다.
즉, 웹사이트 10개 중 7개는 쿠키를 무방비하게 방치하고 있다는 것이다. 보안에 취약한 쿠키는 세션 하이재킹(Session Hijacking)과 같은 쿠키 탈취는 물론, 쿠키 스니핑(Cookies Sniffing)을 통한 쿠키 변조 등의 공격에 악용돼 개인정보 탈취와 같은 대규모 유출 사고로 이어질 수 있다.
또 다른 보안 위협은 온라인 광고 자체가 악성코드 유포의 통로로 악용될 수 있다는 점이다. 그러나 이 사실은 여전히 많은 이들에게 낯설게 다가온다.
‘멀버타이징’(Malvertising)이라 불리는 이 행위는 악성 소프트웨어(멀웨어·Malware)와 광고(애드버타이징·Advertising)의 합성어로 온라인 광고를 매개로 악성코드를 퍼뜨리는 공격 방식을 뜻한다. 일반적으로 공격자가 광고 서버를 해킹해 광고에 악성코드를 심어두면 해당 광고가 온라인에 노출된 뒤 이용자가 클릭하는 순간 단말기에 악성코드가 침투하는 구조다. 이러한 특성 때문에 멀버타이징은 종종 온라인 광고를 악용한 피싱으로 불리기도 한다.
실제 사례도 있다. 2024년 12월 마이크로소프트는 자사 위협 인텔리전스 조직을 통해 구글 검색 광고에 악성코드를 심어 전 세계적으로 100만 대 이상의 기기를 감염시킨 대규모 멀버타이징 공격을 확인했다고 밝혔다. ‘스톰(Storm)-0408’이라 명명된 이 공격은 순식간에 확산해 심각한 피해를 남겼다.
더 큰 문제는 이런 방식이 외국에만 국한하지 않는다는 점이다. 지난해 5월 국내에서도 한 기업의 팝업 광고 프로그램이 악용된 대규모 사이버 공격이 발생했고 이에 한국인터넷진흥원(KISA)은 ‘2025년 사이버 위협 전망 보고서’를 통해 멀버타이징의 심각성을 공유하며 각별한 주의를 촉구했다.
이제 우리는 인터넷을 넘어 인공지능(AI)이 일상이 된 시대를 살고 있다. 그러나 기술 혁신의 소용돌이 속에서도 변하지 않는 진리는 하나다. 바로 ‘기본에 충실하라’는 것이다. AI 시대의 온라인 광고가 해커의 먹잇감이 되거나 이용자를 위협하는 존재로 전락하지 않으려면 광고 생태계 전반에서의 보안 인식 제고와 강화된 보안 조치가 필수적이다.
광고 사업자는 시스템 설계 단계부터 보안을 고려해야 한다. 광고 서버의 취약점을 정기적으로 점검하고 쿠키 보안 옵션을 설정하는 등 기본적인 보안 수칙을 철저히 준수해야 한다. 광고가 온라인에 등록되기 전에는 악성코드 감염 여부와 링크 변조 여부를 반드시 확인하고 광고주 검증 절차 또한 강화해야 한다.
무엇보다 이러한 조치들이 일회성 권고에 그치지 않고 광고 산업 전반에 뿌리내리려면 빅테크 기업뿐만 아니라 중소 광고 사업자들 역시 보안에 대한 책임감을 공유해야 한다. 지속적인 관심과 노력이 뒷받침돼야만 우리는 사이버 공간의 안전을 지켜낼 수 있다.
Copyright ⓒ 이데일리 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
다음 내용이 궁금하다면?
광고 보고 계속 읽기
원치 않을 경우 뒤로가기를 눌러주세요
