유니스왑 등 유명 플랫폼 정교하게 복제하고 구글 검색 상단에 노출해 사용자 지갑 약탈
악성 URL 차단해도 공격 시스템이 즉각 감지해 불과 몇 분 만에 새로운 광고와 랜딩 페이지 생성

[보안뉴스 김형근 기자] 글로벌 비영리 보안 연합체인 ‘보안 동맹’(SEAL: Security Alliance)은 구글 광고 플랫폼을 악용한 피싱 공격으로 단 2주 만에 127만달러(약 17억원) 이상의 자산이 유출됐다고 밝혔다.


SEAL 위협 대응팀은 공격자들이 유니스왑(Uniswap) 등 유명 플랫폼을 정교하게 복제한 뒤, 구글 검색 상단에 위장 링크를 노출해 사용자 지갑을 약탈했다고 분석했다.

특히 이번 조사는 SEAL이 직접 온체인(On-chain) 데이터를 추적해 피해 액수를 산출했으며, 단일 피해액이 38만5000달러에 달하는 안보 파산 정황을 포착했다.

사이버 범죄자들은 구글의 보안 필터를 무력화하기 위해 구글 사이트나 구글 독스 등 신뢰받는 도메인을 첫 페이지로 내세우고, 이후 여러 단계의 자동 연결을 거치게 하는 다단계 기만 구조를 설계해 사용자들을 몰아넣었다.

실제 악성 콘텐츠는 숨겨진 아이프레임(Iframe)을 통해 로드되며, 방문자가 보안 연구원인지 실제 사용자인지 판별해 페이지를 다르게 보여주는 기만술을 쓴다. 일반 사용자가 접속하면 원래 사이트와 똑같이 생긴 복제 페이지를 띄우고, 중간자(MitM) 프록시를 통해 지갑 잔액과 활동을 실시간으로 감시한다.

사이버 범죄자들은 사용자의 지갑과 연결되는 즉시 승인된 자산을 무자비하게 빼가는 ‘드레이너’(Drainer)와, 사용자가 직접 비밀번호를 입력하게 유도하는 ‘시드구문탈취기’(Seed Phrase Stealer)를 동원하고 있다.

보안 팀이 악성 URL을 차단하더라도 공격 시스템이 이를 즉각 감지해 불과 몇 분 만에 새로운 광고와 랜딩 페이지를 생성하는 끈질긴 생명력을 보여준다.

사법 당국과 구글이 관련 계정을 정지시키고 있으나, 공격자들은 새로운 계정을 즉각 다시 투입하는 수법으로 세계 가상자산 사용자들의 안보 파산을 몰아붙이고 있다.

전문가들은 구글 검색 결과의 ‘스폰서’ 링크를 클릭하지 말고, 신뢰할 수 있는 URL을 반드시 즐겨찾기(Bookmark) 해서 직접 접속할 것을 권고했다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>