#회사원 A씨는 구글에서 가상화폐거래소 '요빗(Yobit)'을 검색했다. 맨 위에 나온 요빗 링크를 타고 사이트에 접속했다. 크롬은 해당 사이트에 접속하자 초록색 자물쇠에 안전하다는 표시를 해 준다. 안심하고 접속했는데 나중에 알고 보니 ID, 비밀번호, 임시비밀번호(OTP)를 탈취하는 피싱 사이트였다. 해당 사이트에 접속해 시세와 계좌 상태를 확인하고 나왔다. 5분도 안 돼 계좌에 있던 가상화폐 수천만원어치가 부정 인출됐다.
가상화폐를 탈취하는 해커의 공격이 늘면서 구글 검색 광고를 활용한 피싱 사이트가 극성이다.
사용자는 구글에서 가상화폐거래소를 검색해 사이트에 접속했다가 로그인 정보를 털려서 금전 피해를 본다. 가상화폐거래소 피싱 사이트가 구글 '광고'라는 표시를 달고 상단에 노출, 속아 넘어가기 십상이다.
가상화폐거래소는 ○○bit.net 등 형태의 URL을 많이 쓴다. 최근 발견된 구글 검색 광고 피싱은 국내 거래소 코빗(korbit)과 해외 거래소 요빗(Yobit)을 사칭했다.
과거 피싱 사이트는 '.net'이나 '.com'을 다른 것으로 교묘히 바꾸는 사례가 많았다. 최근 가상화폐 피싱 사이트는 비트코인을 뜻하는 'bit'에서 알파벳 'i'를 아이슬란드어, 체코어, 헝가리어 등에서 쓰는 'Í'로 바꾼다. 점 하나의 미묘한 차이여서 구분하기가 쉽지 않다. 특히 피싱 사이트가 인터넷 통신 프로토콜 'http'가 아니라 'https'를 사용, 구글 크롬이 안전하다고 표시한다. 공격자는 구글 검색 광고에 단시간 노출하고 사라지는 수법을 동원한다. 추적을 어렵게 하는 조치다.
최근 한국 정부가 가상화폐거래소 규제안 등을 내놓자 외국 거래소로 이동하는 수요가 늘었다. 국내는 물론 해외 거래소 역시 해커들의 표적이다. 해외 거래소는 피싱 후 부정 이체 피해를 보면 구제 받기가 더욱 어렵다.
한 피해자는 “구글이 피싱 사이트를 광고로 올리는 게 문제”라면서 “구글 신뢰도가 높은 데다 검색 결과 상단에 광고가 노출돼 있어 피싱 사이트임을 인지하기 어렵다”고 말했다. 이 피해자는 “해당 거래소에 관련 피싱 사이트 차단을 요청했지만 구글이 할 일이라는 답변만 받았다”면서 “가상화폐거래소와 구글 모두 책임을 지지 않아 고객만 피해를 보고 있다”고 토로했다.
최상명 하우리 실장은 “가상화폐 가격 상승세가 지속되고 거래소로 돈이 몰리면서 피싱 사이트가 갈수록 교묘해지고 있다”면서 “보안 전문가조차 검색 광고로 상단에 노출되는 피싱 사이트에 당할 정도”라며 혀를 내둘렀다.
구글은 피싱을 모니터링하고 조기 발견하는 전담팀이 있다고 밝혔다. 광고, 웹사이트, 광고주 계정 등 세 단계에 걸쳐 교차 점검한다. 구글 측은 “수상한 활동이 감지되면 즉각 조치가 취해지지만 매번 방법을 바꾸면서 끈질기게 시도하는 피싱은 100% 막을 수 없다”면서 “피싱 사이트를 보면 신고해 달라”고 당부했다.
김인순 보안 전문기자 insoon@etnews.com