"검색상단 '카톡 PC버전' 다운로드 했더니 가짜"...악성코드 주의보

[파이낸셜뉴스] 최근 검색 광고를 악용해 공식 사이트를 사칭하고 악성코드를 유포하는 수법이 확인됐다. 특히 한국 사람들이 가장 많이 이용하는 메신저 '카카오톡' 다운로드 사이트를 사칭하는 수법이 퍼지고 있어 주의가 필요하다.

3일 한국인터넷진흥원(KISA)에 따르면 최근 미상의 해킹 조직이 '카카오톡' 공식 다운로드 페이지를 사칭한 피싱 사이트를 제작해 유포했다.

특히 구글과 빙(Bing) 등의 검색 엔진에서 검색 결과 상단에 노출해, 사용자가 악성코드가 담긴 설치파일을 의심 없이 내려받고 실행하도록 유도한 것으로 확인됐다.

실제 지난 2월 10일부터 4월 14일까지 약 두 달간 '카카오톡 PC 버전' 공식 다운로드 페이지를 위장한 해당 피싱 사이트에서 이미 560건의 악성코드가 다운로드된 것으로 파악됐다.

사용자가 위장 설치파일을 실행할 경우 내려받은 사용자 PC에서 악성코드가 실행돼 PC 내 민감 정보 등이 외부로 유출될 위험이 크다.

정부 차원에서도 KISA를 주축으로 실시간 침해사고 정보를 수집·모니터링하고 있지만, 플랫폼 사업자에 피싱 대응 책임을 묻는 직접 규제는 아직 없는 상황이다.

KISA는 "카카오톡 등 주요 소프트웨어(SW)를 설치할 때는 검색 결과가 아닌 공식 홈페이지를 통해 다운로드받고, 검색 결과 중 '광고' 또는 상단 노출 링크의 URL이 정상 사이트와 일치하는지 반드시 확인 후 접속해야 한다"고 전했다.

wongood@fnnews.com 주원규 기자