현재 스트로베리(Strawberry)로 이름을 바꾼 노르딕 초이스 호텔(Nordic Choice Hotels)은 2021년 말, 일주일 넘게 운영이 마비되는 대규모 랜섬웨어 공격을 받았다. 스트로베리 호텔 체인의 기술 보안을 책임지고 있는 마틴 벨락은 당시 모든 작업을 수동으로 처리했다고 말했다.

벨락은 “리셉션 직원들은 화이트보드를 사용해 예약된 객실을 관리했다”라고 회상했다.

이 공격은 스트로베리가 윈도우 환경에서 크롬 OS 환경으로 전환에 박차를 가하는 계기가 됐다. 스트로베리는 일주일 만에 4,000대의 기기를 크롬 OS로 마이그레이션했다. 벨락은 “스트로베리는 구글 중심으로 운영되며, 전체 구글 워크스페이스를 사용하고 있다. 대형 고객으로서 구글과 긴밀한 관계를 유지하고 있다”라고 설명했다.

벨락은 구글의 툴이 매우 잘 작동한다고 생각하지만, 구글의 검색 서비스와 광고 서비스에 대한 통제 부족에 대해서는 불편함을 느낀다고 언급했다.

벨락은 “가장 큰 문제는 구글이 유료 검색 위치를 차지하는 광고주를 제대로 검증하지 않는다는 점이다. 구글은 광고주의 신뢰성을 확인하거나 배경 조사를 하지 않기 때문에 합법적인 광고주뿐 아니라 사이버 범죄자도 구글 광고를 게시하도록 허용한다”라고 지적했다.

예를 들어 검색창에서 특정 업체를 검색하면 범죄자가 게시한 구매 페이지로 연결될 위험이 있다. 흔히 이를 멀버타이징(malvertising)이라고 한다.

이어 벨락은 “범죄자는 키워드를 구매하고 합법적인 사이트와 똑같은 가짜 랜딩 페이지를 만들어낸다. 또한 실제 URL과 유사한 URL을 사용해 사용자를 속인다. 우리는 이런 사기 시도에 매일 노출되고 있다. 다행히도 보안 계층이 대부분 공격을 차단하지만, 이를 뚫고 들어오는 경우도 있어 신뢰와 금전적인 손해를 입는다. 피해자에게 보상을 제공해야 하고, 스웨덴 개인정보보호청에 사건을 보고하는 행정적 비용도 감당해야 한다”라고 말했다.

구글의 이중적 태도

스트로베리는 구글에 이런 문제를 여러 차례 신고하려고 시도했지만, 광고 부서와의 직접적인 연락 창구가 없어 적절한 담당자와 연락이 닿지 않았다.

이런 문제를 지적하는 것은 스트로베리뿐만이 아니다. 2년 전 FBI는 구매한 광고를 통해 이런 유형의 사기가 이루어지고 있다고 경고했지만, 그 이후로 별다른 조치가 이뤄지지 않았다. 사이버보안 업체 넷스코프가 최근 발표한 보고서에 따르면, 2024년 피싱 클릭률은 전년 대비 3배 증가했다. SEO 포이즈닝과 멀버타이징이 급격한 증가의 일부 원인으로 작용했으며, 범죄자가 이메일 외부로 피싱 공격 무대를 옮기고 있다는 점을 보여준다.

2024년 크리스마스를 앞두고 스트로베리는 크롬의 기본 검색 엔진을 덕덕고로 변경했으며, 추가적인 보호를 위해 광고 기능도 비활성화했다.

벨락은 “스트로베리 역시 구글 광고에 의존하고 있다는 점에서 다소 아이러니한 일이다. 제 발등을 찍는 것처럼 보일 수도 있다. 하지만 구글은 광고의 유효성을 확실히 검증하고 사용자가 방문할 의도가 없는 URL로 연결되지 않도록 균형을 맞춰야 한다. 현재 상황은 정말 이상하다”라고 말했다.

스트로베리가 구글 제품 전체에 불만을 갖고 있는 것은 아니다. 벨락은 오히려 구글의 다른 부문이 사이버보안을 위해 얼마나 노력하고 있는지를 강조했다. 예를 들어 클라우드 서비스 모니터링, 브라우저 내 서드파티 쿠키 차단 등을 언급했다.

또한 벨락은 스트로베리가 불만을 품고 있는 것은 구글 전체가 아니라 클라우드 서비스 모니터링, 브라우저 내 서드파티 차단 등 구글의 다른 부분이 사이버보안을 위해 열심히 노력하는 방식을 지적하는 것이 아니라는 점을 분명히 밝혔다. 이어 “다른 사업 분야에서는 사이버보안에 수십억 달러를 투자하면서도 광고 분야에서는 그렇게 하지 않는다는 점이 고객으로서 매우 이상하게 느껴진다”라고 설명했다.

벨락은 스트로베리가 구글 검색 서비스를 사용하지 않기로 한 결정이 구글에 큰 영향을 미칠 것이라고 기대하지 않는다고 말했다. 다만, 약간의 논쟁은 불러일으킬 수 있을 것으로 예상했다.

이런 문제는 2단계 인증 같은 방법으로 해결될 수 없다. 현재 사이버 범죄자는 실시간으로 생성되는 토큰을 자동으로 가로채기 때문이다. 또한, 구글만이 이런 문제를 겪고 있는 것은 아니지만, 다른 업체는 악성 광고와 관련해 더 나은 통제 방안을 마련하고 있다.

벨락은 “애플은 앱스토어에 들어가는 앱을 검토하는데, 구글은 왜 광고주를 검증하지 못하는가? 스트로베리는 작은 업체지만 구글의 눈에 손가락을 찌른 셈이고, 이제 어떤 결과를 가져올지 지켜볼 것이다”라고 덧붙였다.
dl-itworldkorea@foundryco.com