검색 상단 믿었는데 악성코드 감염…카카오톡 사칭 560건 확인

최근 검색 광고를 악용해 공식 사이트를 사칭하고 악성코드를 유포하는 수법이 기승을 부리고 있습니다.

해커가 검색 광고 서비스를 악용해 검색 결과 최상단에 피싱 사이트를 노출할 수 있는 것인데, 플랫폼 사업자의 자율 모니터링 외에는 대처 방법이 없어 보안 사각지대가 우려됩니다.

오늘(3일) 한국인터넷진흥원(KISA)에 따르면 최근 국가 배후 해킹 조직으로 의심되는 미상의 해킹 조직이 '카카오톡' 공식 다운로드 페이지를 사칭한 피싱 사이트를 제작해 유포했습니다.

특히 구글과 빙(Bing) 등의 검색 엔진에서 검색 결과 상단에 노출해, 사용자가 악성코드가 담긴 설치파일을 의심 없이 내려받고 실행하도록 유도한 것으로 확인됐습니다.

이는 검색 결과 상위 노출을 조작해 사용자를 악성 사이트로 유도하는 'SEO(Search Engine Optimization) 포이즈닝' 기법입니다.

실제 올해 2월 10일부터 4월 14일까지 약 두 달간 '카카오톡 PC 버전' 공식 다운로드 페이지를 위장한 해당 피싱 사이트에서 이미 560건의 악성코드가 다운로드된 것으로 파악됐습니다.

사용자가 위장 설치파일을 실행할 경우 내려받은 사용자 PC에서 악성코드가 실행돼 PC 내 민감 정보 등이 외부로 유출될 위험이 큽니다.

이 같은 수법은 주로 이용자 관심도가 높은 서비스 위주로 확산하고 있습니다.

안랩은 지난달 22일 생성형 인공지능(AI) 서비스 '클로드' 다운로드 사이트를 위장한 피싱 사이트가 발견돼 주의가 필요하다고 당부한 바 있습니다.

이 피싱 사이트 역시 공격자가 클로드를 설치하려는 사용자를 유인하기 위해 구글 검색 광고 서비스를 사용해 노출 순위를 조작한 것으로 알려졌습니다.

이처럼 검색 광고를 결합한 악성코드 유포는 꾸준히 발생하고 있지만, 대응 체계는 여전히 제한적입니다.

정부 차원에서도 KISA를 주축으로 실시간 침해사고 정보를 수집·모니터링하고 있지만, 플랫폼 사업자에 피싱 대응 책임을 묻는 직접 규제는 아직 없는 상황입니다.

일각에서는 상대적으로 자율 규제가 엄격한 국내 검색 엔진보다 해외 검색 엔진에서 이러한 피싱이 더 활발하다는 점을 들어, 플랫폼 사업자의 사전 차단 책임을 강화하는 제도 개선이 필요하다고 보고 있습니다.

실제 네이버의 경우 광고주의 사업자 정상 등록 여부부터 확인하는 사전 광고 검수 시스템을 통해 악성 검색 광고를 차단하고 있습니다.

광고 집행시 광고주의 사이트를 우선 등록하게 해 이에 대한 전수 검사를 실시하고, 특히 피싱 목적 사이트 URL의 광고 등록은 시스템 단계에서 차단하는 식입니다.

KISA는 "카카오톡 등 주요 소프트웨어(SW)를 설치할 때는 검색 결과가 아닌 공식 홈페이지를 통해 다운로드받고, 검색 결과 중 '광고' 또는 상단 노출 링크의 URL이 정상 사이트와 일치하는지 반드시 확인 후 접속해야 한다"고 권고했습니다.