윈도 사용자 노린 SEO 포이즈닝, “가짜가 너무 진짜 같아”

SEO 포이즈닝 기법을 통해 멀웨어를 유포하는 캠페인이 적발됐다. 이 공격은 중국어 윈도 사용자들을 노리고 있다고 보안 업체 포티넷(Fortinet)이 자사 블로그를 통해 경고했다. 발견된 것만 8월이며, 아직까지 피해 규모는 정확히 집계되지 않고 있다. 현재는 중국어 사용자들이 표적이지만, 인공지능을 활용해 언어권을 쉽게 바꿀 수 있어 다른 지역 사용자들 역시 안심할 수만은 없다.

먼저 SEO 포이즈닝(SEO Poisoning)이란, 검색엔진을 통해 나타나는 검색 결과를 조작하는 수법이다. 보통 검색엔진 사용자들은 상단에 오는 결과들을 신뢰하는 편인데, 공격자들은 SEO 포이즈닝을 통해 자기들이 원하는 사이트를 상단에 올릴 수 있다. 즉, 피싱 사이트를 검색 결과 위에 노출시키면 수많은 사람들이 아무 의심 없이 접속하게 된다는 의미다. 

이번 공격에서 사용자들은 특정 소프트웨어를 검색하려는 사람들을 노리고, 해당 소프트웨어 개발사의 것과 똑같이 생긴 피싱 사이트를 만들어 두었다. 그리고 그 소프트웨어를 검색하는 사람들의 결과 창에 그 피싱 사이트가 제일 위나 그 아래 쪽에 나타나도록 했다. 이 때 특수한 플러그인을 사용했다고 포티넷은 설명한다.

신뢰할 수 있는 검색엔진이 가장 위에 노출시킨 결과니 피해자들은 의심을 하지 않고 클릭했다. 마침 사이트도 매우 그럴듯하게 생겼다. 그러니 조금도 수상하게 여기지 않고 자기가 찾는 소프트웨어를 다운로드 하기 시작한다. “하지만 실제 다운로드 되는 파일은 악성 페이로드입니다. 물론 사용자가 찾는 진짜 소프트웨어의 설치파일도 포함돼 있습니다. 그리고 미끼로 사용되죠. 이 진짜 파일이 있어 사용자는 더더욱 의심을 못하게 됩니다.”

어떤 일 벌어지나?
이제 다운로드까지 완료됐다. 사용자는 설치파일을 실행한다. 그러면 설치파일이 여러 가지 검사를 수행하기 시작한다. 지금 자신이 실행되는 환경이 샌드박스나 그에 준하는 분석 도구 내인지를 확인하는 것이다. “만약 실험실이라고 판단될 만한 증거들이 나오면 악성 요소들이 실행되지 않습니다. 실행되던 것들도 전부 즉각 중단됩니다. 최대한 들키지 않고 파악되지 않으려는 것입니다.”

실험실 환경이 아니라면 어떨까? 설치파일은 배경에서 히든고스트(Hiddengh0st)와 위노스(Winos)라는 멀웨어를 설치한다. 히든고스트는 공격자가 컴퓨터를 원격에서 제어할 수 있게 해 주는 도구이고, 위노스는 정보를 찾아 바깥으로 빼돌리는 소프트웨어다. 하지만 이 캠페인의 배후에 있는 공격자가 히든고스트를 통해 한 악성 행위는 위노스 실행 뿐이고(즉, 데이터 탈취 뿐이고), 훔친 데이터를 악용해 추가 피해를 발생시킨 사례는 아직 나타나지 않았다.

“요즘은 어떤 해커든 정보 탈취부터 실시하고 보죠. 예전에는 돈 훔치는 해커, 정보 훔치는 해커, 염탐하는 해커 등이 비교적 분명히 구분됐지만요. 이제는 다 정보를 훔치고, 그 정보를 가지고 후속타를 기획합니다. 그러니 누군가 중국 윈도 사용자들로부터 정보를 훔쳤다는 건, 그 자체로 종결된 사건이 되지 않습니다. 그 후에 진짜가 오는 게 보통입니다.” 포티넷 측의 설명이다.

이번에 탈취된 정보 중 암호화폐 지갑 관련 데이터도 포함돼 있다는 게 어쩌면 힌트일 수 있다고 포티넷은 짚는다. “테더와 이더리움과 같은 암호화폐 지갑 데이터도 노렸더군요. 어쩌면 이게 그들의 진짜 목표 아니었을까요? 물론 그 외에도 광범위하게 개인정보도 훔쳐갔습니다. 키로깅도 했고요. 이런 정보들을 가지고 공격자들이 할 수 있는 일은 대단히 많습니다.”

소프트웨어 다운로드
이 캠페인의 핵심은 ‘소프트웨어 다운로드를 ‘함부로’ 시도하는 인터넷 사용자들이 많다’는 것이다. 합법적으로 다운로드 가능한 소프트웨어라면, 공식 웹사이트에 가서 다운로드 받아야 한다고 보안 전문가들은 계속 강조한다. 그게 아니라면 다운로드를 시도조차 하지 말아야 한다. 다운로드를 시작하려는 웹 페이지가 공식 사이트 내에 있는 것임을 확인하고 또 확인하는 게 중요하다.

이번 공격에서는 공격자들이 공식 사이트와 거의 똑같이 생긴 가짜 사이트를 만들어 놓고 피해자를 기다렸다. 여기서 진짜와 거의 똑같다는 건, 주소까지도 비슷하게 설정했다는 것이다. “공격자들은 공식 사이트의 철자 중 일부를 교묘하게 다른 글자로 바꾸는 등의 수법으로 피해자를 속였습니다. 예를 들어 알파벳 ‘o’를 숫자 ‘0’으로 대체하는 식이었죠. Google이 아니라 G00gle이라고 했어요. 그래서 눈으로 도메인을 얼른 보면 속을 수밖에 없었습니다. 면밀히 들여다보면 알아챌 수 있었겠지만요.”

이러한 수법은 예전부터 사용돼 왔다. 그러므로 다운로드가 시작되려는 페이지가 진짜인지 확인할 때 도메인 철자도 꼼꼼하게 살피는 것이 안전하다. “특수문자들 가운데 라틴 알파벳과 비슷하게 생긴 것들이 제법 많습니다. 공격자들은 그런 것들을 교묘하게 이용하고요. 앞으로는 진위 여부를 확인할 때 특수문자가 존재하는지도 눈여겨봐야 합니다.”

Related Materials

• SEO Poisoning Attack Targets Chinese-Speaking Users with Fake Software Sites - Fortinet FortiGuard Labs, 2025년
• SEO Poisoning Attack Hits Windows Users: Hiddengh0st, Winos Malware Target Chinese Speakers - HackRead, 2025년
• Behind the Great Wall: Void Arachne Targets Chinese-Speaking Users With SEO Poisoning - Trend Micro Research, 2024년
• DragonRank, a Chinese-speaking SEO manipulator deploying PlugX - Cisco Talos Blog, 2024년

피싱 메일은 가짜 메일? 이제는 진짜 메일도 조심

💡Editor’s Pick - 구글 노코드 플랫폼 앱쉬트 통해 피싱 메일 발송 - 도메인 흉내 낸 가짜 메일 아니라, 진짜 앱쉬트 서비스로 만든 메일 - 전통 이메일 필터 기술 무력화 구글의 공식 노코드 플랫폼인 앱쉬트(AppShee)를 악용한 피싱 캠페인이 발견됐다. 공격자들은 피싱 메일을 마치 앱쉬트 서비스 관리자가 보낸 것처럼 위장하고

The Tech Edge문가용 기자

‘은폐’가 핵심인 요즘 공격자들, LotL마저 진화시켜

💡Editor’s Pick - 사이버 공격자들의 주안점, 흔적 감추기 - 가장 은밀한 공격인 LotL마저 더 발전시켜 - SVG 파일 악용 사례 늘어나고, 룸마스틸러 인기 올라가고 사이버 공격자들의 은폐 실력이 나날이 좋아지고 있다. 피해자 시스템에 설치되어 있는 유틸리티와 자원을 있는 그대로 공격에 활용하는 전술인 LotL(Living-off-the-Land) 자체도 변화하는 분위기라고 보안 업체 HP울프(

The Tech Edge문가용 기자