전 세계 검색엔진 시장의 92%를 점유하고 있는 구글(Google)은 독보적인 검색 알고리즘으로 많은 인터넷 사용자들이 이용하고 있다. 구글의 고도화된 알고리즘에 의해 검색 결과 상단에 노출된 웹사이트는 그 검색어에 따라 하루에도 수만, 수 백만의 구글 검색엔진 사용자들이 방문한다. 구글은 최대한 악성 또는 피싱 사이트를 상단 노출에서 제외하기 위해 알고리즘을 개선하고 있지만, 사이버 공격자들은 그럼에도 불구하고 최대한 많은 피해자가 악성 웹사이트에 방문할 수 있도록 구글의 노출 로직을 교묘히 악용한다. 그 중에서도 구글 광고(Google Ads) 를 악용한 피싱, 악성 웹사이트 공격은 계속해서 제기되는 악질적인 공격 방법이다. 

최근, 보안 매체 Bleeping Computer 에서는 구글 검색 광고 피싱 대상으로 Bitwarden 비밀번호 저장소가 타겟이 되었으며, 많은 이들이 이 구글 광고 피싱으로 자격증명을 도용 당했다는 기사가 발행되었다. 그 외에도 지금까지 구글 광고를 악용해 검색엔진 사용자들을 피싱, 사기 피해를 입게 한 많은 피싱 공격 사건이 있었지만, 너무나 잘 만들어진 가짜 사이트는 마땅한 대책 없이 계속해서 구글 검색 결과 최상단에 노출되고 있다.

메타마스크 구글 광고 피싱 사이트

가상화폐 지갑 서비스인 메타마스크(MetaMask)는 월 3백 만 명 이상이 방문하는 인기 있는 가상화폐 서비스이다. 그리고 많은 이용자들이 메타마스크 웹사이트에 접속하기 위해 구글 검색엔진을 거치게 된다. 구글에 ‘메타마스크’, ‘메타마스크 지갑’ 으로 검색하면  당연히 메타마스크의 공식 온라인 웹사이트가 노출될 것으로 생각하기 마련이다. 만약 상단에 노출된 사이트가 전혀 다른 타이틀, 설명이라면 스크롤하여 사용자가 원하는 웹사이트를 찾겠지만, 실제 사이트와 똑같은 타이틀, 설명으로 노출된 검색 결과가 노출되어있다면 어떨까?

실제로 메타마스크 구글 광고 피싱 사건은 지난 2020년 부터 몇 차례 보고되고 있다. 공격자들은 피싱 사이트 광고가 차단되면 얼마 후 다시 새로운 도메인으로 다시 광고를 노출시키는 방법으로 공격을 지속하고 있다. 우리가 이번에 발견한 메타마스크 구글 광고 피싱 사례는 한국의 구글 검색 결과였다. 아래 이미지와 같이 “메타 마스크” 키워드를 구글 검색창에 입력하면 검색 결과 맨 위에 Ad 표시와 함께 메타마스크 Title로 된 웹사이트가 보여진다. 

한국 구글 검색창에 "메타 마스크" 로 검색한 결과, 구글 광고가 첫 번째로 보여진다
한국 구글 검색창에 “메타 마스크” 로 검색한 결과, 구글 광고가 첫 번째로 보여진다

구글 사용자들은 메타마스크에 접속하기 위해 큰 의심 없이 맨 위에 노출된 사이트를 클릭할 것이다. 이 웹사이트에 실제로 접속하면 아래와 같은 메타마스크 공식 사이트로 보이는 사이트로 접속된다. 

구글 검색결과 최상단에 노출된 메타마스크의 유사 웹사이트로 접속한 화면
구글 검색결과 최상단에 노출된 메타마스크의 유사 웹사이트로 접속한 화면

구글 광고를 클릭해 접속한 사용자들이 접속 후 이상한 점을 찾아볼 수 있을까? 그건 힘들 것이다. 실제 메타마스크 웹사이트와 비교하면 파비콘, 타이틀, 웹 UI/UX 모든 것이 다 실제 사이트와 똑같이 만들어져 있기 때문이다.

딱 한 가지 실제 웹사이트와 다를 수 밖에 없는 것이 있는데, 바로 URL 주소이다. 구글 광고 피싱 사이트로 만들어진 URL은 실제 웹사이트와 최대한 똑같이 보여지기 위해 mètamaśk[.]com 이라는 URL을 사용했다. 언뜻 보면 실제 웹사이트 URL인 metamask.io와 구분하기 어렵지만, 자세히 보면 ‘e’와 ‘s’ 대신에 ‘è’, ‘ś’ 를 사용해 그럴듯하게 위조했다. 

구글 광고 피싱 사이트를 구분하는 방법

위의 메타마스크 구글 광고 피싱 사이트 사례와 같이 피싱 공격자들은 구글 광고를 피싱 공격에 적극적으로 악용하고 있다. 구글 상단에 노출된 그럴듯한 피싱 사이트를 구별하기 위해서는 직접 접속해 URL과 같은 복제 불가능한 요소를 비교하는 방법이 있지만, Criminal IP와 같은 URL 스캐너를 사용하는 방법이 더 정확하다. 

Criminal IP의 Domain Search에 구글 광고 피싱 사이트로 노출된 메타마스크 가짜 URL  mètamaśk[.]com 을 검색해 보았다.

메타마스크 피싱 사이트의 Criminal IP Domain Search 검색 결과, 피싱 사이트로 탐지된다
메타마스크 피싱 사이트의 Criminal IP Domain Search 검색 결과, 피싱 사이트로 탐지된다

구글 검색 광고에 노출된 메타마스크 피싱 사이트를 스캔한 결과, 99% 위험도로 탐지 되었으며, 피싱 확률은 75%이다. 심지어, 이 도메인은 피싱 공격을 위해 최근에 만들어진 도메인인 것으로 보여진다. 

메타마스크 피싱 사이트의 스크린샷
메타마스크 피싱 사이트의 스크린샷

또한, 접속 하지 않고도 피싱 사이트의 스크린샷을 확인할 수 있다. 비록 이 도메인의 경우 악성 히스토리가 알려지지 않은 IP 주소에 연결되어 있지만, 대부분의 피싱 사이트는 연결된 IP 주소 역시 악성인 경우가 많다.

구글 광고 상단에 노출된 웹 사이트에 접속하기 전에는 Criminal IP 와 같은 URL 스캐너에 피싱 여부를 탐지해 보는 것이 안전하며, 접속 만으로도 랜섬웨어 등의 악성코드가 다운로드 될 수 있어 주의해야 한다.

구글 광고를 악용한 또 다른 사이버 공격 : Google Ads 관리자 초대 스팸 메일

구글 광고를 악용하는 또 다른 사이버 공격이 있다. Google Ads 관리자 초대 이메일을 악용한 방법이다.

정상적인 Google Ads 광고주는 공동관리자를 초대하기 위해 초대할 대상의 Gmail 주소로 아래와 같은 초대 메일을 발송하게 된다. 공격자는 이를 악용해, 악성 웹사이트(이번 사례에서는 성인 사이트이다)를 광고할 웹사이트로 등록 후 불특정 다수에게 관리자 초대 메일을 발송한다. 관리자 초대 메일의 발신자는 ‘Google Ads ads-account-noreply@google.com’ 로 설정되어 있기 때문에, Gmail의 스팸 필터를 우회해 정상적으로 받은 메일함으로 수신 된다. 때문에, 이메일을 수신 받은 사람들은 실제 구글 광고 관리자에 초대되었다고 생각해 스팸 링크에 접속하게 되는 것이다. 기업에서 근무하는 사람들은 실제 구글 광고를 집행하고 있기 때문에, 이와 같은 방식의 공격에 피해를 입게 될 가능성이 높다.

Google Ads 광고주 초대 이메일을 악용한 스팸 메일
Google Ads 광고주 초대 이메일을 악용한 스팸 메일

위 스팸 메일에 사용된 링크 역시 Domain Search에 스캔하면 접속하지 않고도 웹사이트의 악성 여부를 점검할 수 있다. 

Criminal IP Domain Search에 구글 광고주 스팸 메일의 링크를 검색한 결과
Criminal IP Domain Search에 구글 광고주 스팸 메일의 링크를 검색한 결과

이 사이트의 경우 성인 사이트로 보이며, 공격자는 Google Ads 관리자 초대 메일을 악용해 성인 사이트를 홍보하거나, 접속자의 개인정보를 수집하려고 했던 것으로 보인다. 

구글 광고 피싱 공격을 예방하려면

어떤 경우, 구글 광고 피싱 공격을 예방하기 위해 구글 광고 차단 프로그램, 일명 애드블록 (AdBlock)을 사용하기도 한다. 
이 역시 괜찮은 방법이긴 하지만 모든 이들에게 구글 광고를 임의로 차단하도록 요구할 수는 없는 일이다. 또한 근본적인 해결책은 광고주와 소비자 모두 안전하게 광고 플랫폼을 사용할 수 있도록 구글이 스팸 및  피싱에 대한 검열을 강화하는 수 밖에는 없을 것이다.

최대한 피싱 및 스팸 공격을 자체적으로 예방하기 위해 Criminal IP와 같은 실시간 URL 스캐너, 웹사이트 점검 툴을 사용하는 것을 추천한다.

관련하여 해커용 다마고치 Flipper Zero 피싱 사이트를 탐지하는 방법에 대한 글을 참고해도 좋다.


출처

관련 글 :