2.1 유해사이트의 특징

유해사이트는 다음과 같은 공통적인 특징을 가지고 있다. 첫째, 배너광고를 통해 수익을 창출하기 때문에 다수의 배너광고가 존재한다. 둘째, 불특정 다수의 사이트에서 유사한 배너광고를 반복 사용한다. 셋째, 사정기관의 단속을 회피하기 위해 주기적인 URL 변경 패턴을 보인다 ^[9].

먼저, 다수의 배너광고가 게재된 유해사이트는 일반적인 웹 사이트의 배너광고와는 다르게 한 구역에 다수의 광고가 배열되어 있다. 광고가 많이 게재된 메인 페이지 경우, 평균 월 1,050만 원에서 3,750만 원 이상의 수익이 발생하는 것으로 파악되어 유해사이트의 주 수입원의 역할을 한다 ^[10]. 사이트 내 배너광고들의 위치는 이용자들의 눈에 띄기 쉽게 상단에 배치된다. 또한 Animated GIF 이미지를 사용하여 여러 색상, 그림과 화려한 시각적 효과를 통해 사이트 이용자의 시선을 사로잡는다. 배너광고는 그림 1과 같이 “신규”, “첫충”, “매충”, “안전검증”, “먹튀검증”, “카지노” 등 특정 은어를 사용하여 정보를 함축적으로 전달함과 동시에 사람들을 현혹하는 글이 주로 이루고 있다. 배너광고의 73%는 불법 도박 사이트로 연결된다 ^[11].

그림 1. 유해사이트 배너광고 배치의 예

Fig. 1. Examples of posting banner ads on harmful sites

다음으로, 어떤 유해사이트에 접근하더라도 동일 또는 유사한 유해사이트를 홍보하는 배너광고를 흔하게 발견할 수 있다. 이러한 배너들의 특징은 기본 틀에서 제공하는 내용은 같지만, 모양, 크기 또는 일부 텍스트 내용을 변경하여 게재된다. 그 예시로, 그림 2와 같이 5개의 다른 유해사이트에서 유사한 배너광고를 볼 수 있으며, 전체적인 배너 이미지의 구성과 “신규”, “무한매충”, “가입코드” 등의 홍보내용은 같으나 배너의 텍스트 및 이미지 배치 형태와 일부 텍스트 내용이 변경되어 게재됨을 알 수 있다.

마지막으로, 대부분의 유해사이트는 단속을 회피하기 위해 IP와 도메인을 변경한다. 유해사이트는 대부분 도메인네임 마지막에 숫자를 붙여 주기적으로 증가시키는 방법으로 도메인을 변경한다. 그림 3은 모 유해사이트의 URL 변경 패턴을 나타낸 것으로, 주기적으로 도메인을 변경하여 “torrent*** 58.com” 도메인이 “torrent***60.com”으로 변경된 것을 확인할 수 있다. 이 사이트들은 이전 도메인으로 접속했을 때 “도메인 변경 주소 안내” 화면을 보여준다. 이 화면에서 새로운 사이트로 접속할 수 있는 경로를 안내한다는 특징을 가진다.

그림 2. 서로 다른 유해사이트에서 유사한 배너광고 반복 사용

Fig. 2. Use similar banner ads on different harmful sites

그림 3. 유해사이트의 도메인 변경 패턴의 예

Fig. 3. An Example of domain change patterns of harmful sites

2.2 관련 연구

장준영 ^[7]은 유해사이트의 HTML 코드를 중점으로 분석하여 얻은 유해사이트의 특징으로 유해 여부를 판별할 수 있는 시스템을 제안하였다. 추출된 특징으로는 도메인에 붙은 시퀀스 번호, HTML 메타 데이터, 하이퍼 링크를 포함한 이미지, 타이틀에 사용된 키워드가 있다. 이를 이용해 유해사이트를 판별하였지만, HTML이 변조되어 있거나 특정한 구조를 가지지 않는 경우 유해사이트를 판별하기 어렵다는 점과 HTML 코드 외에서 식별할 수 있는 특징들을 수집하기 어렵다는 한계가 있다. 추승용 등 ^[8]은 웹 크롤링을 이용하여 유해사이트 다양한 정보를 수집하는 시스템을 제안하였다. 효과적으로 유해사이트 정보를 수집하기 위해 링크 모음 사이트들을 Seed URL로 지정했다. 웹 사이트의 HTML과 URL을 기반으로 유해 정보를 식별한 후 사이트에 접근하여 기존 연구들에서는 수집하지 못한 Google Analytics ID와 SNS 정보, CDN 사용 정보 등 유해사이트의 정보를 수집하였다. 이 정보들을 기반으로 유해사이트의 판별률을 높이고 차단하는 데 기여했지만, Seed URL인 링크 모음 사이트가 차단되거나 없어지면 정보 수집이 어려울 수 있다. 정중원 등 ^[9]은 유해사이트의 도메인 변경 패턴에 초점을 두고 차단하는 방안을 제안했다. 도메인 변경 방식에는 Second-level, Top-level, 전체 주소 변경 방식이 있다. 변경되기 전 유해사이트의 HTML 태그와 도메인이 변경된 후 유해사이트의 HTML 태그를 Longest Common Subsequence(LCS) 알고리즘을 적용하여 유사도 결과를 출력해 유해사이트를 판별하였다. 하지만 도메인 내 Top-level, 전체주소 변경 방식에 대해서는 예측이 어렵고 주기적이지 않은 갱신 기간으로 판별하는 데 한계가 있었다. 강하연 등 ^[10]은 유해사이트 내에 배너광고를 분석하고 추적하여 광고주를 분석하는 시스템을 구현하였다. 유해사이트는 서로 유기적으로 연결된 경우가 많은 점을 초점을 두어 광고 수익 추적 기법을 이용하여 광고 수익 흐름의 최종 단계에 있는 사이트를 최종 광고주로 규정하고 색출해 내는 데에 목적을 두었다.

3.1 유해사이트 특징 데이터 선정

유해사이트의 분류를 위해 2장에서 언급한 유해사이트의 특징을 분석하여 Site Name, URL, Category, Base64encoding, AverageHash, Banner URL, Keyword로 7개의 특징 데이터를 선정하였다. 선정 이유는 다음과 같다. Site Name과 URL은 배너광고를 포함한 사이트 이름과 URL이다. 해당 정보를 통해 동일한 도메인에서 숫자를 증가시키며 URL을 변경하는 사이트를 판별할 수 있다. Category는 유해사이트에서 제공하는 주요 서비스를 기준으로 Gamble, Torrent, Porno, Streaming, Webtoon으로 분류하였다. Base64encoding와 AverageHash는 배너광고 이미지를 각각의 알고리즘으로 이진화한 값이다. Base64 알고리즘을 사용하면 배너 이미지를 바이너리로 쉽게 변환할 수 있다. 하지만 유해사이트에 게재되는 배너광고 특성상 같은 사이트에 대한 배너광고일지라도 사이트마다 크기, 내용 등이 조금씩 다르다. 따라서 Base64로 인코딩하면 유사 이미지는 찾기 어렵다는 한계가 있다. 따라서 이미지의 픽셀을 해시값으로 나타내어 유사한 이미지를 찾는 Average Hash 알고리즘을 사용하였다 ^[12]. 이 알고리즘은 이미지 크기를 일정한 크기로 축소하고 색 영역을 회색조로 변환하여 이미지의 각 픽셀의 평균을 계산한다. 각 픽셀의 어두운 정도가 평균보다 크면 1, 평균보다 작으면 0으로 계산한다. Keyword는 배너광고에서 공통으로 발견되는 20개의 키워드를 선정하였고 OCR을 통해 분석된 텍스트에서 단어가 발견되는 경우 해당 키워드를 저장한다. 불법 배너광고 게재 여부를 알 수 있으며 해당 데이터로 유해사이트를 판별한다.

그림 5. 제안하는 OCR 전처리 과정

Fig. 5. A proposed OCR pre-processing Process

3.2 웹 크롤링을 통한 정보 수집

웹 크롤링은 선정한 유해사이트 특징 데이터를 수집하기 위해서 사용하며, 효율적인 수집을 위해 유해사이트 링크가 모여있는 사이트를 주 대상으로 삼아 크롤링을 진행하였다. 사이트마다 배너광고가 위치한 구조가 다르지만, 대부분의 광고는 같은 크기와 반복된 배열 구조를 보인다. 또한 사용자 눈에 잘 띄는 메인 사이트 중간이나 상단에 고정된 형태로 배치되어 있다는 특징을 가진다. 그리고 배너광고는 <a> 태그를 활용해 다른 웹 사이트로 이동하는 공통점이 있다. <a> 태그와 비슷한 기능을 하는 HTML 태그는 <div>, <li> 등이 있다. 웹 크롤링은 Beautifulsoup 모듈과 Selenium 모듈을 사용해 필요한 데이터를 추출하였다. 세부적으로 <a> 태그의 “href” 속성값을 추출하여 BannerURL을 수집하였다. 그리고 <img> 태그에서 “src” 속성을 추출하여 배너광고 이미지를 수집하고 “src” 속성에서 확장자 표기가 되지 않은 링크는 이미지의 유형을 판단해주는 imghdr 모듈을 사용하였다.

크롤링 진행 중 정보 수집 매크로를 차단하는 안티-크롤링(Anti-Crawling) 기법이 적용된 사이트를 다수 발견하였고, 이 경우 웹 페이지 접속 요청 시 HTTP　Header 영역에 User-Agent 값을 추가하여 해결하였다. 또한 배너광고는 주로 다중 프레임 애니메이션을 사용하는 Animated GIF 이미지를 사용한다. 이는 크롤링 시 png나 jpg와 같은 이미지에 비해 다운로드 속도가 느리다. 따라서 이미지 수집 속도를 향상하기 위해 Headless Mode, Multi Processing 기술을 적용했다. Headless Mode는 실제 창을 띄우지 않고 Background Mode로 실행하였으며, Multi Processing은 기본적으로 1개의 프로세스만을 사용하는 Python에서 여러 개의 프로세스 사용이 가능하게 하였다.

3.3 배너광고 분석을 통한 키워드 추출

본 연구에서는 이미지 속 은어들을 키워드로 규정하고 공통으로 등장하는 키워드 추출하는 과정을 수행하였다. 이 과정은 배너광고 이미지에서 문자를 추출하는 Optical Character Reader (OCR)와 문자를 키워드로 묶기 위한 한국어 자연어 처리(Natural Language Processing; NLP)로 나눠진다.

OCR은 텍스트 이미지를 기계가 읽을 수 있는 텍스트 포맷으로 변환하는 소프트웨어 기술이다. OCR을 사용하면 이미지를 텍스트 문서로 변환하여 내용을 텍스트 데이터로 저장할 수 있다. 배너광고 대부분은 여러 개의 정적 이미지들로 연결되어 이루어진 Animated GIF 이미지이므로 OCR 전처리가 필요하다. 정적 이미지들은 각각 담고 있는 정보가 조금씩 다르다. 따라서 배너광고 속에 있는 모든 텍스트 정보를 얻기 위해서 프레임 분할을 수행하였다. 그리고 OCR의 음영의 손상, 왜곡 등으로 인한 인식률 저하를 개선하기 위해서 이미지를 그레이스케일로 표현하고 크기 조정을 수행하였다. 이미지 크기 조정은 원본 이미지에 가로, 세로 각각 2배 확대했고 크기 변환으로 인해 픽셀 사이의 값을 결정하기 위해 이미지 확대할 때 많이 쓰이는 바이 큐빅 보간법을 적용했다.

수집한 배너광고 2,557개에 대하여 전처리 과정을 진행하였으며 전처리 후 이미지들은 OCR을 이용해 텍스트를 추출했다. 추출된 텍스트 결과와 배너광고 속 텍스트를 한 글자씩 비교해본 결과 Tesseract OCR 기준 전처리 전 추출 정확도는 평균 7%이며, 전처리 후 정확도는 63%이었다. 이 결과는 배너광고의 화려한 이미지 효과로 OCR 전처리를 수행하지 않으면 인식이 어려우며, 전처리 후에도 인식률이 떨어지므로 추가적인 노력이 필요함을 보여준다. 본 논문에서는 Tesseract OCR 외에도 Easy OCR을 이용하였으며, 사용자학습을 추가하여 OCR의 성능 강화하는 실험을 수행하였다.

이미지 속 자주 등장하는 은어들을 키워드로 규정하기 위해서 NLP를 사용하였고, 라이브러리 활용성이 뛰어난 python을 이용하였다. 사용한 NLP 라이브러리는 KoNLPy이며, 이를 통해 추출한 핵심 키워드는 “매충”, “카지노”, “코드”, “돌발”, “미니게임”, “룰렛” 등이 있었다. 하지만 KoNLPy를 사용하여 명사 단위로 구분하였을 때 “첫충”, “페이백” 등을 명사로 인식하지 못하고 분해하는 등 오히려 핵심 키워드들을 추출하지 못하는 한계점이 존재했다. 따라서 형태소 분석으로 방향을 바꿔 분석하였으며, 꼬꼬마(Kkma), 코모란(Komoran), 메카브(Mecab), 한나눔(Hannanum) 등 다양한 형태소 분석기들을 추가로 실험하였고 최종적으로 KoNLpy의 형태소 분석기인 Kkma를 사용하여 키워드를 추출하였다.

3.4 Average Hash를 통한 유사한 배너광고 찾기

다수의 유해사이트에서 같거나 유사한 이미지를 사용한다는 점에 초점을 두어 유사 이미지를 판별할 수 있는 Average Hash 알고리즘을 채택하였다 ^[13]. Average Hash는 이미지에 고유한 fingerprint를 부여하기 위해 다양한 방법으로 압축한 이미지를 해시 함수를 이용하여 대표할 수 있는 하나의 값으로 변환하는 방법이다. 본 논문에서는 추출한 이미지와 데이터베이스에 저장된 이미지의 Average Hash의 차를 이용하여 유사도를 구하였다. 이 값은 0에 가까울수록 동일 또는 유사한 이미지로 판별한다.

3.5 ELK stack 활용한 데이터베이스 구축

데이터베이스를 구축하면 축적한 데이터와의 비교를 통한 판별 기능과 추후 연구에 활용될 수 있으므로 유해사이트 판별 외에도 분석을 위한 데이터베이스를 구축하였다. 특히, ELK stack은 편리한 데이터 저장, 빠른 검색, 분석과 시각화를 할 수 있는 Elasticsearch, Kibana를 가지고 있어 이를 이용해 구축하였다. 데이터베이스 구성은 1개의 필드 당 배너광고 1개에 대한 데이터를 저장하였으며 도큐먼트로는 Site Name, URL, Category, Base64encoding, AverageHash, BannerURL, NLP Keyword0-5로 총 12개의 도큐먼트로 구성하였다.

Elasticsearch는 정보 검색 라이브러리로, 확장성이 뛰어나며 대량의 데이터를 거의 실시간으로 신속하게 저장, 검색 및 분석을 수행할 수 있다는 장점이 있다. 그리고 검색 기능뿐만 아니라 검색한 데이터를 집계할 수 있는 기능도 있다. 본 연구에서는 유해사이트의 특징을 고려하여 선정한 도큐먼트들에 대한 집계와 축적된 데이터와의 비교를 통해 판별하는 기능에 활용하였다. 또한 Kibana는 불특정 다수 유해사이트에서 반복하여 사용된 배너광고들, 카테고리별 하나의 유해사이트 당 게재된 배너광고의 수, 사이트 URL이 일정한 패턴으로 지속적인 변경이 발생하는 사이트들그리고 광고 배너들이 주로 가지는 키워드들의 빈도수 등에 적용하여 도표를 구현하였다.

4.1 실험 환경

제안한 이미지 기반 유해사이트 판별 방법의 실험 환경은 표 1과 같다. 운영체제는 Windows 11을 사용했고 CPU와 GPU는 각각 AMD Ryzen5 5600x 6-Core, GTX 3070을 사용하였다. 개발언어는 Python이며 3.10.7 버전을 사용하였다. 웹 크롤링은 Beautifulsoup 4.12.0 버전과 Selenium 4.9.0 버전을 사용했고, OCR 전처리를 위한 OpenCV-python은 4.6.66버전이며, OCR은 Easy OCR 1.6.2 버전을 사용하였다. 그리고 NLP는 KoNLPy 0.4.3 버전이며, 데이터베이스는 ELK stack 8.4.2 버전이다.

4.2 웹 크롤링의 데이터 수집 속도 측정

웹 크롤링의 성능 평가를 위해서 “**닷컴” 사이트에서 19개의 배너광고 이미지 수집을 기준으로 설정했다. 아무런 기술 없이 수집했을 경우 약 12.5초가 소요됐다. Chrome 브라우저를 사용한 Selenium의 Headless Mode는 실제 창을 띄우지 않고 Background Mode로 실행한다. 이는 실제로 창을 띄웠을 때보다 속도를 향상할 수 있었지만, 기본 설정에서 보이던 크롤링 속도와 크게 차이 나지 않았다. Python은 기본적으로 1개의 프로세스를 사용한다. 반복된 작업과 오랜 시간이 걸리는 작업을 여러 개의 프로세스로 병렬 처리하여 동시에 처리한다면 속도향상에 큰 도움을 줄 수 있다. 4개의 프로세스를 설정하여 수집했을 때 약 3.34초가 소요되었으며 이는 기본속도에 비해 4배 빠른 속도로 향상된 것을 확인하였다. 프로세스 증가 시 수집 속도 역시 함께 증가했지만, 적정 프로세스 이상을 사용하는 경우 웹 사이트에서 공격적 크롤링으로 인식하여 차단할 수 있는 문제가 발생할 수 있으며 네트워크 문제로 인한 오류나 지연이 발생할 가능성이 높다. 따라서 적정한 프로세스를 사용하여 안정적인 환경을 유지하는 것이 중요하다.

4.3 배너광고의 OCR 인식률 측정

배너광고에서는 특정한 키워드가 반복 사용되기 때문에 이러한 특징에 초점을 두어 효율적인 키워드 추출을 위해서 Easy OCR 기본 신경망 모델이 아닌 특정 키워드에 높은 인식률을 보이는 사용자학습 Easy OCR 모델을 구현했다. 이 모델은 사용자가 직접 학습시키고자 하는 데이터를 학습한다. 학습 기술과 기본 기술이 더해져 이미지 속 텍스트를 추출한다. 사용자학습에 필요한 학습데이터 12,500개를 생성 및 학습시켰다. 앞서 소개한 Tesseract OCR, Easy OCR, 사용자학습 Easy OCR 모델에 대해 수집한 배너광고 중 임의로 선정하여 인식률 비교를 진행했다. 성능 평가를 위해 아래의 식 (1)을 적용했다. 이 수식은 이미지 속에 있는 모든 문자에서 정확하게 인식한 문자의 비율을 정의한다.

실험 결과는 표 3에서 보는 바와 같이 Tesseract OCR은 평균 63% 인식률을 보였고 Easy OCR의 인식률은 평균 84%를 보였다. 하지만 사용자학습 Easy OCR의 인식률은 측정할 수 없었다. 사용자학습 모델은 데이터를 학습시켰을 때는 높은 인식률을 확인하였다. 그러나 배너광고에 실제 적용하여 OCR을 진행하였을 때는 낮은 인식률을 보이며 대부분 오인식이 되는 현상이 나왔다. 이러한 이유로는 기존 전처리 절차가 사용자학습 Easy OCR 모델에는 적합하지 않았다. 또한 배너광고마다 폰트와 크기가 다른 점과 학습에 사용된 데이터셋의 부족은 과적합을 발생시켜 오히려 성능이 떨어지는 한계점이 보였다. 따라서 본 논문에서는 Easy OCR 모델로 키워드 추출을 수행하였다.

4.4 Kibana를 통한 수집 결과 그래프

본 연구에서는 ELK stack에 데이터를 축적하였고 12개의 도큐먼트로 구성된 데이터베이스를 Kibana를 통해 데이터를 시각화하여 한눈에 보기 쉽도록 표와 그래프로 나타냈다. 표 4는 Keyword 도큐먼트를 활용한 것으로 높은 빈도수를 가지는 상위 4개의 키워드를 그래프로 표현하였고, 이를 표로 정리하였다. 키워드는 “코드”가 32.3%로 가장 높은 빈도수를 가지는 것으로 나타났으며 다음으로 “매충”, “카지노”가 뒤를 이었다. 최종적으로 도박사이트로 이어지는 배너광고가 대부분이기 때문에 도박과 관련된 키워드가 많이 포함된 것을 확인할 수 있다.

하나의 유해사이트의 웹 페이지에 게시되는 배너광고는 적게는 4개에서 많게는 191개의 배너광고 이미지를 수집할 수 있었다. 간혹 특이하게 많은 수의 배너광고를 게재하고 있는 사이트가 존재하였지만 약 20개씩 게재하고 있는 것이 일반적이었다. 그리고 유해사이트의 URL은 주기적으로 변경되므로 URL에 따른 배너광고의 수의 관계성을 비교해보았다. 그림 6은 URL과 Site Name 도큐먼트를 활용한 것으로 대표로 7개의 사이트를 뽑아 멀티레벨 파이 차트로 표현하였다. 동일 색상에서 URL 변경 패턴을 보이는 수만큼 도형으로 분할되어 표현되며 도형의 면적은 배너광고 개수를 뜻한다. 이는 유해사이트 도메인이 변경하며 운영하고 있다는 것을 알 수 있다. 또한 도메인이 변경되면서 사이트가 기존의 배너광고 개수를 유지하거나 변경되는 경우도 확인할 수 있다. 해당 차트로 일정한 도메인 변경을 통해 사정기관의 차단을 회피하는 사이트를 그룹화하여 볼 수 있다. 추가로 게시된 배너광고의 유사성을 확인하면 URL 변경 여부를 알 수 있다.

그림 7은 Average Hash로 추출한 고유 정보를 활용한 타 사이트 간 배너광고 유사성을 비교한 결과이다. x축은 Average Hash 값이며 y축은 동일/유사한 배너광고가 사용된 사이트 개수를 나타낸다. Average Hash 결과는 이미지의 고유 정보를 활용하므로 서로 다른 배너광고라면 값이 크게 바뀐다. “001f023e00ff4077” 값은 13개의 다른 사이트에 게시된 배너광고이며, 같은 내용을 홍보하고 있음을 보여주는 예이다.

그림 6. 유해사이트의 도메인 변경 패턴 시각화

Fig. 6. A visualization of domain change patterns of harmful sites

그림 7. Average Hash로 추출한 고유 정보를 활용한 타 사이트 간 배너광고 유사성 비교

Fig. 7. A comparison of similarity between banner ads between sites using an average hash technique

4.5 유해사이트 판별 실험

앞선 실험으로 수집 데이터 중 Site Name, AverageHash, Keyword를 활용하여 유해사이트를 판별할 수 있었다. 데이터베이스 속 Site Name 도큐먼트와 대조하여 유해사이트로 사용된 사이트 이름인지 확인하여 판별하고 데이터베이스에 삽입된 AverageHash 값들과 판별할 사이트에 있는 이미지의 AverageHash 값을 연산하여 일정한 수 이하 값이나 0의 값을 가지게 되면 유해사이트 배너광고가 게재된 것을 간주하여 유해사이트로 판별한다. 마지막으로 이미지에서 유해사이트 불법 배너광고에서 주로 사용하는 특정 키워드가 발견되는 경우 유해사이트로 판별한다. 그림 8은 실제 유해사이트인 xx닷컴과 정상사이트인 네이버쇼핑의 판별을 시연한 결과이다.

그림 8. 유해사이트 판별 시연

Fig. 8. A demonstration of identifying harmful sites