구글 최상단 검색 결과 클릭하는 사용자 심리 악용
피싱 사이트 통해 메타마스크 지갑 복구 구문 탈취

피싱으로 정보를 탈취하는 그림. 픽사베이 제공

최근 ‘메타마스크’(가상자산 지갑) 사용자의 가상자산을 노리는 ‘피싱’(Phishing) 공격이 등장해 투자자들의 피해가 우려된다. 피싱이란 개인정보(Private Data)를 낚는다(Fishing)는 의미의 합성어로, 전화·문자·메신저·가짜 사이트 등 전기통신수단을 이용해 피해자를 속여 개인정보나 금융정보를 빼낸 후 금품을 갈취는 사기 수법을 말한다.

31일 정보보안기업 이스트시큐리티 시큐리티대응센터(이하 이스트시큐리티)는 공격자들이 사전 제작한 피싱 사이트를 구글 애즈(ADs·온라인 광고 솔루션)에 등록, 클릭을 유도해 메타마스크 정보를 탈취하는 공격이 발견됐다며 사용자의 각별한 주의를 당부했다.

해당 피싱의 경우 구글에 메타마스크를 검색했을 때 최상단에 노출된 검색 결과를 클릭하는 사용자 심리를 악용했다. 특히 사용자가 공식 사이트와 피싱 사이트 간 차이점을 인지하기 어려울 정도로 매우 유사하게 제작됐다.

구글 키워드 검색 결과 사진. 이스트시큐리티 제공

피싱 사이트(왼쪽)와 공식 사이트 비교 사진. 이스트시큐리티 제공

사용자가 피싱 사이트에 접속하면 공격자는 메타마스크 복구 구문(Recovery Phrase) 탈취를 시도한다. 만약 피싱 사이트를 정상 사이트로 오인하여 피싱 페이지에 복구 구문을 입력한다면, 사용자 메타마스크 지갑에 있던 가상자산은 모두 공격자에게 넘어간다.

피싱 사이트 내 복구 구문 탈취 시도 사진. 이스트시큐리티 제공

이스트시큐리티는 현재 구글 키워드 검색 시 노출되는 피싱 페이지를 통한 해킹 피해가 지속되고 있는 만큼 이를 방지하기 위해 “구글 검색 시 검색 결과 창 앞에 ‘광고’ 문구를 확인해야 한다. ‘광고’ 문구가 붙어있을 경우 공식 사이트가 아닐 가능성이 높으므로 주의가 필요하다”면서 “또한, 검색 결과에 보이는 URL을 확인해야 한다”고 강조했다.

앞서 KISA(한국인터넷진흥원)는 인터넷 보호나라에서 피싱 예방 보안수칙을 소개한 바 있다. 피싱을 예방하기 위해 사용자들은 △출처가 불분명한 이메일, 문자 메시지, 블로그 등에 포함된 URL에 접근하지 않기 △개인정보(로그인), 금융정보(보안카드 등)에 대한 입력을 진행할 때 홈페이지 주소의 자물쇠 그림 또는 도메인 주소의 철자 확인하기 △경품 이벤트 등 무분별한 인터넷 이벤트 참여를 통해 개인정보 입력하지 않기 △안전한 비밀번호를 사용하고 주기적으로 변경하기 △공유기 보안 설정 강화하기 등이 중요하다.

피싱 예방 보안수칙 그림. KISA 제공

피싱이 의심될 때는 ‘118 사이버도우미(과기정통부·KISA 운영, 국번 없이 118)’에 신고하면, 악성코드(앱) 제거 방법 등을 24시간 무료로 상담받을 수 있다. 피해 정도에 따라 수사를 요청하는 경우에는 사이버범죄 신고시스템(ECRM)이나 경찰청 누리집 등을 통해 신고할 수도 있다.

홍수빈 기자 hong@bonmedia.kr