“공식 사이트인 줄”...‘카카오톡 PC버전’ 클릭하니 악성코드, 두 달간 560건

'카카오톡 PC버전' 다운로드 사이트로 위장한 피싱 페이지./한국인터넷진흥원 홈페이지 캡처

검색 엔진에서 유명 서비스 이름을 검색했을 때 결과 상단에 가짜 다운로드 사이트가 노출되도록 조작해 악성코드를 유포하는 수법이 잇따라 적발되고 있다. 카카오톡 PC 버전부터 생성형 인공지능(AI) 클로드(Claude)까지, 이용자 관심이 높은 서비스가 잇따라 표적이 됐다.

한국인터넷진흥원(KISA)은 최근 국가 배후 해킹 조직으로 의심되는 미상의 조직이 ‘카카오톡’ 공식 다운로드 페이지를 사칭한 피싱 사이트를 만들어 악성코드를 유포한 사실을 확인했다고 공지했다. KISA에 따르면 올해 2월 10일부터 4월 14일까지 두 달간 ‘카카오톡 PC 버전’ 공식 다운로드 페이지를 위장한 피싱 사이트에서 약 560건의 악성코드 다운로드가 발생한 것으로 추정된다. 위장된 설치 파일을 실행하면 사용자 PC에 정보 유출이 가능한 악성코드가 깔려 PC에 저장된 민감 정보가 외부로 빠져나갈 수 있다. KISA는 악성코드 백신 탐지명으로 ‘Dropper/Win.Agent’, ‘Trojan/Win.Dapato’ 등을 지목했다.

공격자는 구글, 빙(Bing) 등 주요 검색엔진에서 ‘카카오톡 PC버전’을 검색하면 결과 상단에 피싱 사이트가 노출되도록 조작했다. 검색 결과 상위 노출을 조작해 사용자를 악성 사이트로 끌어들이는 이른바 ‘SEO(검색엔진 최적화) 포이즈닝’ 기법이다. 사용자는 공식 페이지로 오인한 채 의심 없이 설치파일을 내려받게 된다.

클로드 다운로드 페이지를 위장한 피싱사이트/안랩 제공

이 같은 수법은 이용자 관심도가 높은 서비스를 중심으로 확산하고 있다. 최근 보안 기업 안랩 역시 ‘클로드’ 다운로드 페이지를 정교하게 모방한 피싱 사이트를 발견했다고 밝혔다. 공격자는 구글 검색 광고 서비스를 동원해 ‘클로드 앱’, ‘클로드 데스크톱’ 등 키워드 검색 결과 최상단에 피싱 사이트가 노출되도록 한 것으로 안랩은 추정했다.

특히 이 사이트는 다운로드 버튼을 누르면 설치 파일 대신 ‘설치 방법 안내’ 팝업이 떠, 사용자가 직접 명령어를 복사·붙여넣기 하도록 유도했다. 이 과정에서 PC 내 파일과 브라우저 저장 정보, 암호화폐 지갑 정보 등을 빼내는 악성코드가 설치된다. 안내문이나 오류 메시지를 가장해 사용자가 스스로 악성 명령을 실행하게 만드는 ‘클릭픽스(ClickFix)’ 기법이다.

KISA는 “카카오톡 등 주요 소프트웨어(SW)를 설치할 때는 검색 결과가 아닌 공식 홈페이지를 통해 다운로드받고, 검색 결과 중 ‘광고’ 또는 상단 노출 링크의 URL이 정상 사이트와 일치하는지 반드시 확인 후 접속해야 한다”고 강조했다.