카톡·클로드 사칭 피싱 기승
검색 상단 노출로 이용자 혼란
KISA “공식 홈페이지서만 설치”
카카오톡·클로드 등 인기 소프트웨어 다운로드 페이지를 흉내 낸 피싱 사이트가 검색 결과 상단에 버젓이 노출되고 있는 것으로 드러났다. 설치 파일을 실행하면 개인정보를 빼내는 악성코드가 PC에 심어진다.
4일 한국인터넷진흥원(KISA)이 공개한 내용에 따르면, 미상의 해킹 조직이 카카오톡 PC 버전 공식 다운로드 페이지를 사칭한 사이트를 구축해 악성코드를 유포한 사실이 확인됐다.
해당 사이트는 지난 2월 10일부터 4월 14일까지 두 달간 운영되며 약 560건의 악성코드 다운로드 피해를 일으킨 것으로 추산된다.
공격자는 구글·빙(Bing) 등 주요 검색 엔진에서 ‘카카오톡 PC 버전’, ‘카카오톡 다운로드’ 등을 검색할 때 피싱 사이트가 결과 상단에 뜨도록 조작했다. 피싱 사이트를 정상적인 검색 결과로 오인하기 쉬운 구조다.
이용자가 해당 사이트에서 설치 파일을 내려받아 실행하면 개인정보를 빼낼 수 있는 악성코드가 PC에 깔린다. 이 같은 수법을 ‘검색 엔진 최적화(SEO) 포이즈닝’이라 부른다.
보안기업 안랩도 최근 생성형 AI 클로드(Claude) 다운로드 페이지를 정교하게 모방한 유사 사이트를 포착했다고 밝혔다.
이 경우 구글 검색 광고를 활용해 ‘클로드 앱’, ‘클로드 데스크톱’ 등 키워드 검색 시 피싱 사이트가 검색 결과 상단에 자리하도록 유도한 것으로 파악됐다.
다운로드 버튼을 누르면 설치 파일 대신 ‘설치 방법 안내’ 팝업이 등장하고, 안내를 따르는 과정에서 PC 저장 파일·브라우저 정보·암호화폐 지갑 정보 등을 탈취하는 악성코드가 심어진다. 안내나 오류 메시지로 위장해 이용자 스스로 악성 명령을 실행하게 만드는 ‘클릭픽스(ClickFix)’ 수법이다.
한국인터넷진흥원(KISA) 제공
KISA는 “소프트웨어를 설치할 때는 검색 결과가 아닌 공식 홈페이지를 통해 내려받고, 검색 결과에 광고 표시가 돼 있는지 노출 링크의 인터넷주소(URL)가 정상적인 사이트와 일치하는지 반드시 확인 후 접속해야 한다”고 당부했다.
광고주 검증 체계가 상대적으로 미흡한 구글·빙과 달리 네이버는 자체 검수 시스템을 통해 피해 차단에 나서고 있다.
네이버는 광고주의 사업자 등록 여부와 허위·과장 여부를 따지는 사전 검수를 실시하고, 시큐리티 조직과 연계해 광고 페이지 이상 유무를 실시간으로 점검한다. 이용자 신고 채널도 24시간 열어두며 피해 발생 시 즉각 광고를 중단하는 절차도 갖춘 것으로 알려졌다.
