구글 광고 플랫폼 겨냥한 피싱 공격 기승…주의

사이버 범죄자들이 구글(Google) 검색 광고를 악용해 구글 광고 플랫폼 ‘구글 애즈(Google Ads)’ 계정을 탈취하려는 정교한 피싱 공격을 감행하고 있다. 이들은 정교한 광고를 제작해 사용자들을 속이고, 민감한 자격 증명을 빼앗아 계정을 탈취하고 있다.

공격자들은 검색 결과 상단에 광고를 배치하고, 클릭한 사용자를 가짜 로그인 페이지로 유도하고 있다. 이 페이지는 구글 사이트에 호스팅되어 있으며, 실제 구글 애즈 로그인 페이지와 유사하게 설계됐다. 사용자가 계정 정보를 입력하면, 공격자는 이를 수집해 추가적인 공격에 활용한다.

이 공격은 다음과 같은 단계로 이루어진다.

1. 피해자가 가짜 페이지에 구글 계정 정보를 입력한다.

2. 피싱 도구가 피해자의 자격 증명, 쿠키, 고유 식별자를 수집한다.

3. 피해자는 브라질 등 의심스러운 위치에서의 로그인 알림 이메일을 받을 수 있다.

4. 피해자가 이를 즉시 차단하지 못하면 공격자는 다른 Gmail 계정을 사용해 구글 애즈 계정에 관리자를 추가한다.

5. 공격자는 피해자를 계정에서 잠그고, 불법 광고를 대대적으로 게재하거나 계정을 해킹 포럼에서 판매한다.

멀웨어바이츠(Malwarebytes) 연구 책임자인 제롬 세구라는 “구글 광고 정책의 허점을 이용해 이러한 악성 광고가 정당한 것처럼 보이게 만든다”며 “구글 사이트 주소(sites.google.com)가 구글 애즈 주소(ads.google.com)의 루트 도메인과 일치하기 때문에 시스템 상으로는 문제를 탐지하지 못한다”고 설명했다.

이 피싱 캠페인은  멀웨어바이츠가 “가장 심각한 악성 광고 작전 중 하나”로 평가하고 있으며, 구글의 핵심 사업과 수천 명의 사용자에게 영향을 미칠 가능성이 높다고 밝혔다. 세구라는 “악성 광고를 실시간으로 분석하며, 계속해서 새로운 사례가 발견되고 있다”고 덧붙였다.

이번 캠페인에는 최소 세 개의 사이버 범죄 조직이 연루된 것으로 보인다.

브라질에서 활동하는 포르투갈어 사용자 그룹, 홍콩이나 중국을 기반으로 한 아시아 조직, 동유럽 출신으로 추정되는 제3의 해커 그룹 등이다. 

이들은 탈취한 계정을 해킹 포럼에 판매하거나, 같은 방식의 피싱 공격에 활용하는 데 사용하고 있다.

이 같은 피싱 수법은 사이버 범죄자들이 검색 광고를 악용하는 ’말버타이징(Malvertising)’의 일환이다. 미국 연방수사국(FBI)도 최근 이와 같은 공격에 대해 경고한 바 있다. 공격자들은 인기 소프트웨어를 검색하는 사용자를 타겟으로 삼아 가짜 광고로 유도한 뒤 악성코드나 랜섬웨어를 배포하기도 한다.

이 같은 공격에 대응하기 위해 사용자는 다음과 같은 예방 조치를 취해야 한다.

-URL 확인: 광고를 클릭하기 전에 URL을 신중히 확인하고, 의심스러운 주소를 피해야 한다.

-직접 접속: 검색 광고 대신 브라우저에 공식 웹사이트 주소를 직접 입력하는 것이 안전하다.

-광고 차단기 사용: 광고 차단 확장 프로그램을 사용해 악성 광고 노출을 줄일 수 있다.

-정보 업데이트: 최신 사이버 위협 정보를 파악하고, 이에 따라 온라인 행동을 조정해야 한다.

이에 구글은 “정보를 탈취하거나 사용자를 속이려는 광고를 엄격히 금지하고 있으며, 문제 해결을 위해 신속히 대응 중”이라고 밝혔다. 2023년 한 해 동안 구글은 허위 정보 정책 위반으로 2억 6500만 개의 광고를 차단했으며, 34억 개의 광고를 삭제하고, 570만 개 이상의 광고주 계정을 정지시킨바 있다.