검색 광고를 악용해 공식 소프트웨어 다운로드 페이지를 사칭하고 악성코드를 유포하는 사례가 잇따라 확인되고 있다. 최근에는 카카오톡 PC 버전과 생성형 인공지능(AI) 서비스 ‘클로드(Claude)’ 등 이용자 관심도가 높은 서비스가 집중적으로 표적이 되면서 보안 우려가 커지고 있다.

한국인터넷진흥원(KISA)은 최근 국가 배후 해킹 조직으로 의심되는 미상의 조직이 카카오톡 공식 다운로드 페이지를 정교하게 모방한 피싱 사이트를 제작해 악성코드를 유포한 사실을 확인했다고 밝혔다.

해킹 조직은 구글과 빙(Bing) 등 주요 검색엔진의 광고 시스템을 악용해 검색 결과 최상단에 피싱 사이트가 노출되도록 조작했다. 이른바 ‘SEO(검색엔진 최적화) 포이즈닝’ 기법으로, 사용자가 정상 페이지로 오인해 악성 설치파일을 내려받도록 유도하는 방식이다.

KISA에 따르면 올해 2월 10일부터 이달 14일까지 약 두 달간 해당 피싱 사이트에서 이미 560건의 악성코드 다운로드가 발생한 것으로 추정된다. 사용자가 위장된 설치파일을 실행할 경우 PC 내부의 민감 정보가 외부로 유출될 위험이 크며, 실제로 ‘Dropper/Win.Agent’, ‘Trojan/Win.Dapato’ 등 정보 탈취형 악성코드가 포함된 것으로 분석됐다.

이 같은 공격은 카카오톡뿐 아니라 AI 서비스 ‘클로드’ 등 인기 소프트웨어로 확산하고 있다. 보안업체 안랩은 지난달 클로드 다운로드 페이지를 사칭한 피싱 사이트를 발견했다고 경고했다.

공격자는 ‘클로드 애플라케이션’, ‘클로드 데스크톱’ 등 키워드 검색 시 광고 영역 최상단에 가짜 사이트가 노출되도록 조작했으며, 다운로드 버튼을 누르면 설치 파일 대신 명령어 입력을 유도하는 팝업을 띄워 사용자가 스스로 악성 명령을 실행하도록 만드는 ‘클릭픽스(ClickFix)’ 기법까지 활용한 것으로 나타났다. 이 과정에서 PC 파일, 브라우저 저장 정보, 암호화폐 지갑 정보 등이 탈취될 수 있다.

문제는 이러한 공격이 반복되고 있음에도 대응 체계가 충분히 마련되지 않았다는 점이다. 검색 플랫폼 사업자들은 악성 광고를 차단하기 위해 모니터링과 자동 탐지 시스템을 운영하고 있지만, 공격자가 사이트를 정상처럼 위장하거나 광고 내용을 수시로 변경할 수 있어 한계가 있다는 지적이 나온다.

정부 역시 KISA를 중심으로 실시간 침해사고 정보를 수집·모니터링하고 있으나, 플랫폼 사업자에게 피싱 대응 책임을 직접 부과하는 규제는 부재한 상황이다.

일각에서는 국내 검색엔진보다 자율 규제가 느슨한 해외 플랫폼에서 악성 광고가 더 활발하게 노출되고 있다는 점을 들어, 플랫폼 사업자의 사전 차단 책임을 강화하는 제도 개선이 필요하다고 주장한다.

실제로 네이버는 광고주의 사업자 등록 여부를 확인하는 사전 검수 시스템을 운영하며 피싱 목적의 URL 광고 등록을 시스템 단계에서 차단하고 있다. 반면 해외 플랫폼에 대해서는 사실상 규제가 이뤄지지 않고 있어 보안 사각지대가 발생하고 있다는 지적이다.

KISA는 “카카오톡 등 주요 소프트웨어를 설치할 때는 검색 결과가 아닌 공식 홈페이지를 통해 다운로드해야 한다”며 “검색 결과 중 ‘광고’ 표시가 있는 링크는 URL이 정상 사이트와 일치하는지 반드시 확인해야 한다”고 강조했다.

전문가들은 검색 광고 기반 피싱이 더욱 정교해지고 있는 만큼, 이용자 주의와 함께 플랫폼·정부 차원의 대응 체계 강화가 시급하다고 입을 모으고 있다.