검색하면 맨 위에 뜨는데…‘이 사이트’ 클릭하면 개인정보 다 빠져나갑니다

생성형 AI ‘클로드’를 사칭한 피싱 사이트가 구글 검색 상단을 악용해 사용자들을 속이고 있다.

기사의 이해를 돕기 위한 AI 생성 이미지

최근 생성형 AI 사용이 빠르게 늘면서 검색창에 뜬 링크를 별다른 의심 없이 누르는 이용자도 함께 많아지고 있다. 하지만 익숙한 서비스 이름과 검색 상단 노출만 믿고 접속했다가는 개인정보는 물론 PC에 저장된 비밀번호와 금융·지갑 정보까지 한꺼번에 노출될 수 있어 주의가 필요하다.

보안업체 안랩은 22일 클로드 공식 홈페이지를 정교하게 모방한 피싱 사이트를 발견하고 주의를 당부했다. 이 사이트는 사용자에게 악성코드를 설치하도록 유도해 개인정보를 탈취하는 것이 목적이다.

안랩에 따르면 이번 공격은 많은 이용자가 신뢰하는 ‘검색 결과 최상단’을 악용했다는 점에서 위험성이 크다. 공격자는 구글 광고 서비스를 이용해 ‘클로드 앱’, ‘클로드 데스크톱’ 등의 키워드를 검색하면 해당 피싱 사이트가 가장 위에 노출되도록 조작한 것으로 분석됐다.

‘클로드 다운로드 페이지’로 위장한 피싱 사이트. / 안랩 제공

사이트 구성도 실제와 유사하게 만들어졌다. 접속하면 “클로드를 데스크톱에서 이용해 보세요”라는 문구와 함께 운영체제별 다운로드 버튼이 표시된다. 하지만 버튼을 클릭하면 정상적인 설치 파일이 아니라 ‘설치 방법 안내’ 팝업이 나타난다.

문제는 이 과정에서 사용자에게 특정 명령어를 복사해 컴퓨터에 입력하도록 유도한다는 점이다. 이용자가 안내를 그대로 따르면 PC에는 정보 탈취형 악성코드가 설치된다. 이 악성코드는 파일은 물론 브라우저에 저장된 비밀번호, 암호화폐 지갑 정보 등을 빼내 외부로 전송한다.

안랩은 이런 수법을 ‘클릭픽스(ClickFix)’ 기법으로 설명했다. 오류 안내나 설치 가이드를 가장해 사용자가 직접 악성 명령을 실행하게 만드는 방식으로, 최근 다양한 공격에 활용되고 있다.

클로드 모방 사이트. 안랩 제공

이번 사례는 특히 ‘검색 상단=안전하다’는 이용자 인식을 노린 점이 특징이다. 실제로 많은 사용자가 검색 결과 상위에 노출된 사이트를 공식 페이지로 받아들이는 경향이 있어 피해 확산 우려가 크다는 지적이다.

안랩은 피해를 막기 위해 공식 사이트 주소를 직접 확인하고, 출처가 불분명한 프로그램은 다운로드하지 말 것을 당부했다. 또 운영체제와 브라우저를 최신 상태로 유지하고, 백신 실시간 감시 기능을 활성화하는 등 기본적인 보안 수칙 준수가 필요하다고 강조했다.

김동현 안랩 매니저는 “최근 인기 서비스나 최신 기술을 사칭한 피싱 공격이 지속적으로 발견되고 있다”며 “특히 웹사이트에서 명령어 복사·붙여넣기를 요구하는 경우에는 피싱일 가능성이 높다”고 말했다.

AI 피싱 이어 지원금 사칭 스미싱도 기승

이처럼 AI 서비스를 사칭한 피싱이 늘어나는 가운데, 정부도 지난 16일 고유가 피해지원금 지급을 앞두고 스미싱 범죄 확산 가능성에 대해 공식 경고를 내놨다. 최근에는 유명 AI 서비스나 정부 지원금처럼 이용자 관심이 큰 이슈를 앞세워 링크 클릭을 유도하는 수법이 빠르게 늘고 있는데, 정부는 지원금 지급 시기를 노린 사기 시도가 이번에도 반복될 수 있다고 보고 선제 대응에 나선 것이다.

정부는 당시 고유가 피해지원금 안내와 관련해 URL이 포함된 문자나 메시지는 일절 발송하지 않는다고 설명하며 문자메시지뿐 아니라 배너 링크, 앱 푸시 알림처럼 사실상 클릭을 유도할 수 있는 방식도 제공하지 않는다고 밝혔다. 겉으로는 안내 문자처럼 보여도 링크가 달려 있다면 우선 의심해야 한다는 의미다.

실제 현장에서는 지원금 지급 시기를 악용한 사기 수법이 이미 퍼지고 있는 것으로 전해졌다. ‘고유가 피해지원금 지급 대상자입니다’, ‘신청은 아래 링크에서 진행하세요’ 같은 문구와 함께 URL을 넣어 보내고, 이를 누르면 정부 사이트와 비슷하게 꾸민 가짜 페이지로 연결하는 방식이다.

이용자가 이름이나 주민등록번호, 계좌번호 같은 정보를 입력하면 그대로 개인정보가 빠져나갈 수 있다. 카드사를 사칭해 ‘지원금 카드 사용 승인 완료’, ‘결제 내역을 확인하라’는 식으로 불안을 자극한 뒤 링크 클릭을 유도하는 사례도 확인되고 있다. 이 경우 피싱 사이트 접속은 물론 악성 앱 설치로까지 이어질 수 있다.

전화 기반 사기도 조심해야 한다. 지원금 신청을 도와주겠다고 접근한 뒤 원격제어 앱 설치를 요구하거나 인증번호 입력을 시키는 방식인데, 이렇게 되면 휴대전화가 원격으로 조작돼 금융정보 탈취로 번질 수 있다. 지원금처럼 국민 다수가 관심을 갖는 정책은 “대상자”, “지급 완료”, “신청 마감” 같은 표현만으로도 이용자를 쉽게 흔들 수 있어 반복적으로 악용된다는 게 정부와 보안업계의 공통된 판단이다.

고유가 피해지원금 스미싱 주의 홍보 포스터 / 행정안전부 제공

이 같은 경고는 과거 사례와도 맞닿아 있다. 지난해 민생회복 소비쿠폰 지급 당시 단속 결과를 보면 불법 도박사이트 접속 유도, 개인정보 탈취용 악성 앱 설치 유도 등 총 430건의 스미싱 시도가 확인됐다. 정부가 이번 고유가 피해지원금과 관련해 “문자에 URL을 넣어 안내하는 일은 없다”고 거듭 강조한 것도 이런 전례를 감안한 조치다.

최근에는 ‘검색 결과 상단’이나 ‘정부 공식 안내’처럼 이용자가 쉽게 신뢰할 만한 요소를 악용하는 방식이 함께 늘고 있다. 앞서 안랩이 공개한 클로드 사칭 사례 역시 구글 검색 광고를 이용해 피싱 사이트를 최상단에 노출시킨 뒤, 사용자가 직접 명령어를 복사해 실행하도록 유도하는 형태였다. 지원금 스미싱도 같은 맥락에서 볼 수 있다. 겉보기에는 익숙하고 공식적으로 보이지만, 실제로는 사용자가 스스로 문을 열도록 만드는 구조라는 점에서 위험성이 더 크다.

반복되는 지원금 사기…예방법도 꼭 확인해야

정부는 피해 예방을 위해 국민비서 사전 알림서비스를 적극 활용하고, 출처가 불분명하거나 URL이 포함된 문자·알림은 클릭하지 말 것을 당부했다. 문자 내용이 그럴듯해 보여도 링크부터 누르기보다 공식 홈페이지 주소를 직접 입력하거나 행정기관 대표 안내 창구를 통해 다시 확인하는 습관이 필요하다는 설명이다.

스미싱 여부는 한국인터넷진흥원(KISA)의 ‘스미싱 확인 서비스’에서 점검할 수 있고, 118 상담센터를 통해서도 관련 상담을 받을 수 있다. 실제 피해가 발생한 경우에는 경찰청 전기통신금융사기 통합대응단 신고대응센터 1394에 신고해야 한다.

정부는 이용자 경각심을 높이기 위해 지난 10일부터 통신사 명의의 피해예방 문자를 순차적으로 발송하고, 비대면 신청 페이지와 주민센터 같은 대면 접수 창구에서도 주의 안내를 병행하고 있다.