컨텐츠로 건너뛰기
검색
연예스포츠
ITWorld 언론사 이미지

공신력 있는 검색 결과에도 해커 링크가…SEO 피싱 대두

ITWorld
원문보기

공신력 있는 검색 결과에도 해커 링크가…SEO 피싱 대두

서울맑음 / 2.8 °

사이버 범죄자가 ‘해클링크(Hacklink)’라는 불법 SEO 플랫폼을 이용해 검색 결과를 조작하고, 피싱 및 사기성 사이트를 검색 상단에 노출시키고 있는 것으로 나타났다. 공격자들은 공공기관이나 교육기관처럼 신뢰받는 도메인(.gov, .edu 등)을 침해한 뒤, 검색 엔진이 선호하는 구조로 악성 링크를 몰래 삽입하고 있다.


보안 기업 넷크래프트의 사이버 범죄 분석가 앤드루 세번은 “해클링크는 일종의 하이브리드 플랫폼으로, 암시장과 제어판 기능이 결합된 구조”라며 “한쪽에서는 이미 침해된 실제 합법 사이트 접근 권한을 판매하고, 다른 쪽에서는 구매자가 이를 제어하고 수정할 수 있도록 인터페이스를 제공한다”고 설명했다.


피해를 입은 사이트는 대부분 공격 사실을 인지하지 못하며, 삽입된 콘텐츠는 사용자에게는 보이지 않지만 검색 엔진 알고리즘에는 노출되는 구조다. 이는 검색 순위 시스템의 맹점을 교묘히 악용한 방식이다.



신뢰도 높은 도메인 활용한 피싱 링크 삽입


넷크래프트에 따르면, 이 조작은 주로 .gov, .edu 및 국가별 최상위 도메인의 자바스크립트 코드에 키워드 최적화 링크를 삽입하는 방식으로 진행된다. 구글은 이러한 도메인을 높은 신뢰도로 평가하기 때문에, 검색 알고리즘이 사기 사이트를 진짜보다 더 위에 노출시키는 결과로 이어진다.


공격자는 침해된 사이트에 피싱 리디렉션, SEO 최적화된 사기 사이트 링크 등을 삽입해, 정부기관이나 기업 도메인으로 위장한 페이지를 만들고, 이 링크를 검색 상단에 올려 사용자 클릭을 유도한다.


슬래시넥스트 이메일 보안 부문 CTO 제이 스티븐 코브스키는 “이번 연구는 사이버 범죄자들이 신뢰받는 사이트를 납치해 악성 링크를 상단에 노출시키는 방식으로 진화하고 있음을 보여준다”며 “조직들은 검색 순위에 이상이 생기거나 백링크에서 이상 징후가 감지되면 반드시 점검해야 한다”고 경고했다.


세번은 “이 기법의 핵심은 사용자가 직접 삽입된 링크를 클릭하게 만드는 것이 아니라, 사기성 사이트 자체의 노출도를 끌어올리는 데 있다”라며 “감염된 사이트 자체에서 클릭이 발생하지 않더라도, 해당 사이트로 연결된 피싱 페이지가 검색 최상단에 노출되기 때문에 피해가 발생한다”고 설명했다.


넷크래프트는 해클링크를 통해 침해된 사이트를 탐지하고 있으며, 해당 사이트는 자사 고객 및 파트너를 대상으로 한 악성 사이트 피드의 ‘디페이스(defaced)’ 카테고리에 포함해 제공하고 있다.



터키 중심의 조직적 해킹 SEO 시장 형성


현재 해클링크는 수천 개에 이르는 해킹된 사이트를 대상으로 단가 1달러부터 구매 가능한 목록을 제공하고 있으며, .gov 등 고신뢰 도메인은 더 높은 가격에 거래되고 있다.


조직은 매우 체계적인 방식으로 운영되고 있으며, ‘네온 SEO 아카데미’, ‘SEO링크’ 등의 그룹이 불법 SEO 최적화, 피싱, 온라인 도박 사이트 홍보를 목적으로 서비스를 제공 중이다. 현재까지는 터키 지역을 중심으로 활동이 집중되고 있다.


세번은 “지금까지의 활동은 주로 터키 내 불법 온라인 도박, 에스코트 서비스와 관련된 키워드에 집중돼 있다”며 “검색 엔진 업체들이 이 캠페인에 대해 통보받았는지, 대응하고 있는지 여부는 아직 확인되지 않았고, 공식적인 대응 발표도 없는 상황”이라고 밝혔다.


딥워치의 필드 CTO 크리스 그레이는 “해클링크 같은 SEO 독극물 기법은 향후 피싱·스미싱 공격까지 확산될 것”이라며 “올해 피싱 이메일 발송량은 1조 건을 넘어설 것으로 보이며, 전체 데이터 침해의 약 36%에 연루될 것이라는 예측도 있다”고 전했다.



탐지 어려운 스텔스형 공격 기법


세번은 이 캠페인이 매우 교묘하게 설계됐으며, 특정 조건에서만 악성 콘텐츠가 노출되는 ‘클로킹(Cloaking)’ 기법을 활용한다고 밝혔다. 예컨대 구글 검색을 통해 유입된 특정 IP에만 피싱 콘텐츠를 노출하고, 직접 주소를 입력하거나 프록시를 거쳐 접속하면 정상 페이지만 보여주는 식이다.


이 같은 스텔스 기법은 일반적인 보안 솔루션이나 수동 점검으로는 탐지하기 어렵다. 세번은 “이런 방식은 의심하고 찾지 않으면 절대 드러나지 않는다”며 “특히 구버전 소프트웨어를 사용하거나 보안 업데이트가 미흡한 사이트는 이상 링크가 삽입됐는지 수시로 점검해야 한다”고 조언했다.


그레이는 “기존의 피싱 방어 전략을 다시 꺼내 들고 URL 클릭 전 주의, 피싱 캠페인 인식, 강력한 인증 적용 등을 철저히 지키는 수밖에 없다”며 “임직원 대상 피싱 인식 교육은 여전히 가장 중요한 수단”이라고 강조했다.


dl-itworldkorea@foundryco.com



No Author editor@itworld.co.kr
저작권자 Foundry & ITWorld, 무단 전재 및 재배포 금지

info icon이 기사의 카테고리는 언론사의 분류를 따릅니다.