클로드 이어 카카오톡 공식사이트 사칭…‘검색 상단’도 못 믿는다

‘검색 광고’로 최상단 노출…책임·제도 공백

구글 검색 최상단에 노출된 클로드 사칭 사이트. 안랩 제공

클로드에 이어 카카오톡 공식 사이트를 사칭해 악성코드를 유포한 사례가 확인됐다. 해킹 조직은 검색 광고 서비스를 악용해 검색 결과 최상단에 피싱 사이트를 노출해 사용자들의 의심을 피했다.

3일 한국인터넷진흥원(KISA)에 따르면 최근 국가 배후 해킹 조직으로 의심되는 미상의 해킹 조직이 카카오톡 공식 다운로드 페이지를 사칭한 피싱 사이트를 제작해 유포했다.

이들은 구글과 빙 등의 검색 엔진에서 검색 결과 상단에 노출하는 악의적 검색 순위 조작 공격(SEO포이즈닝)을 통해 사용자가 악성코드가 담긴 설치파일을 의심 없이 내려받고 실행하도록 유도했다.

지난 2월 10일부터 4월 14일까지 2개월여간 카카오톡 PC 버전 공식 다운로드 페이지를 위장한 해당 피싱 사이트에서 이미 560건의 악성코드가 다운로드 된 것으로 파악됐다.

위장 설치파일을 실행할 경우 내려받은 사용자 PC에서 악성코드가 실행돼 PC 내 민감 정보 등이 외부로 유출될 수 있다.

이 같은 수법은 이용자 관심도가 높은 서비스에서 확산하고 있다. 안랩은 지난달 생성형 인공지능(AI) 서비스 클로드 다운로드 사이트를 위장한 피싱 사이트를 발견해 주의를 당부하기도 했다.

당시에도 공격자는 클로드를 설치하려는 사용자를 유인하기 위해 구글 검색 광고 서비스를 사용, 노출 순위를 조작한 것으로 알려졌다.

검색 광고를 결합한 악성코드 유포가 이어지고 있지만, 대응 체계는 마련되지 않고 있다. 검색 플랫폼 사업자들도 악성광고 차단을 위해 모니터링 체계나 자동 탐지 시스템을 운영하고 있지만, 공격자가 피싱 사이트를 정상처럼 위장하거나 광고 내용을 수시로 변경할 수 있어 대응에 한계가 있는 상황이다.

정부도 KISA를 주축으로 실시간 침해사고 정보를 모니터링하고 있지만, 플랫폼 사업자에 피싱 대응 책임을 묻는 규제는 없는 상황이다. 이에 플랫폼 사업자의 사전 차단 책임을 강화하는 제도 개선이 필요하다는 목소리도 나온다.

특히 상대적으로 자율 규제가 엄격한 네이버의 경우 광고주의 사업자 정상 등록 여부 등을 확인하는 사전 광고 검수 시스템을 적용하고 있지만, 해외 플랫폼 사업자에 대한 규제는 사실상 이뤄지지 않고 있다는 지적이다.

김남석 기자 kns@dt.co.kr