[아이티데일리] 구글 등 검색 엔진의 알고리즘에 맞춘 허위 웹페이지를 제작해 검색 결과 상단에 노출되게 함으로써 AI 도구(Al Tools) 이용자들을 노리는 공격이 급증하고 있다. 검색 엔진 최적화 기법(Search Engine Optimization)을 악용하는 일명 ‘SEO 포이즈닝(SEO Poisoning)’ 수법이다. 

7일 보안 업계에 따르면 최근 다수의 보안 연구 기관들이 챗GPT(ChatGPT), 루마 AI(Luma AI) 등 인기 AI 도구를 검색하는 사용자들을 악성코드 설치 사이트로 유도하는 수법을 포착하고 주의를 당부했다. 공격자들은 사용자들이 자주 검색하는 키워드를 대량으로 악성 사이트에 주입한 뒤, 검색 엔진이 해당 사이트를 ‘관련성 높은 결과’로 판단하도록 속인다.

사이버 보안 기업 지스케일러의 쓰렛랩즈(Zscaler ThreatLabz)가 최근 분석한 내용을 보면, ‘AI’를 주제로 한 검색 결과 조작 캠페인을 벌인 공격자들은 가짜 AI 사이트를 구축해 2천 개 이상의 검색어를 주입한 것으로 드러났다. 예를 들어 사용자가 ‘Luma AI blog’ 같은 키워드를 검색하면 악성 사이트가 구글 검색 결과 최상단에 노출된다. 클릭 시에는 자바스크립트가 실행돼 브라우저 정보를 수집한 뒤 중간 서버를 거쳐 최종적으로 비다르 스틸러(Vidar Stealer), 루마 스틸러(Lumma Stealer), 리전 로더(Legion Loader) 같은 정보 탈취(InfoStealer) 악성코드의 설치를 유도한다.

특히 보안 업체들은 악성코드 설치를 유도하는 과정의 정교함이 상당한 수준이라고 평가하고 있다. 우선 자바스크립트가 사용자 브라우저에서 광고 차단 프로그램 존재 여부를 검사해 차단 프로그램이 설치돼 있으면 악성 행위를 중단한다. 또한 VPN이나 클라우드 IP에서 접속한 사용자와 맥OS(macOS) 및 리눅스(Linux) 사용자에게는 무해한 콘텐츠를 제공하는 반면, 윈도우(Windows) 사용자에게는 악성코드를 배포하는 선별적 공격 수법을 사용한다. 수집된 브라우저 정보는 XOR 암호화를 거쳐 공격자 서버로 전송되며, 서버는 이에 기반해 개별 맞춤형 리디렉션을 제공한다.

AWS 클라우드프론트(AWS CloudFront)와 같은 신뢰할 수 있는 콘텐츠 전송 네트워크(CDN)를 악용해 탐지를 회피한다는 점도 골칫거리다. 다운로드되는 악성코드 파일 크기를 의도적으로 키워 샌드박스 탐지를 우회하려는 시도도 포착됐다. 또 설치 과정에서 ‘tasklist·findstr’ 같은 윈도우 유틸리티로 특정 백신 프로세스를 탐지해 자동 종료시키는 기능까지 포함한 사례도 확인됐다.

최근 공격자들이 주로 사용하는 검색 조작 기법은 크게 두 가지로 분류된다. 먼저 ‘링크팜(link farm)’은 검색 엔진이 방문자 수에 따라 사이트 신뢰도를 판단하는 알고리즘을 악용하는 방식으로, 서로 연결된 다수의 가짜 웹사이트 네트워크를 생성해 방문자 수를 인위적으로 늘린다. 또한 ‘키워드 채워넣기(keyword stuffing)’는 검색 키워드와 관련 없는 단어를 웹페이지에 대량 삽입해 검색 결과 상위를 차지하는 수법이다. 

지난해 사이버 위협 인텔리전스 업체 릴리아퀘스트(ReliaQuest)는 2023년 8월부터 2024년 1월까지 매월 검색 결과 조작 기법을 통해 퍼지는 악성코드가 10% 증가했다고 발표했다. 특히 공격자들이 솔라마커(Solarmaker)나 굿로더(Gootloader) 등 검색 결과 조작 기법을 쉽게 만들어주는 서비스와 툴킷을 이용하고 있다고 설명했다.

사이버 보안 기업들은 이런 공격을 예방하려면 먼저 검색 결과에서 ‘광고’ 표시가 있는 링크를 주의해야 한다고 조언한다. 공식 사이트가 아니더라도 광고 비용만 지불하면 상단에 노출될 수 있기 때문이다. 또한 공식 사이트가 아닌 제3자 링크를 통한 소프트웨어 다운로드를 피하고, URL과 인증서가 정상인지도 반드시 확인해야 한다. 일반적으로 HTTPS로 시작하는 사이트인지를 확인할 필요가 있다는 얘기다. 또한 파일 다운로드 시 전체 파일명과 확장자를 점검하고, 특히 실행파일(.exe)은 각별히 주의해야 한다.

국내 사이버 보안 업체 관계자는 “기업 차원에서는 DNS 보안 솔루션과 고급 URL 필터링을 통해 악성 도메인 접근을 차단하고, 직원들에게 공식 경로를 통한 소프트웨어 다운로드 원칙을 교육해야 한다”면서 “검색 결과를 무조건 신뢰해서는 안 되며, 신중하게 검증하고 또 검증해야 한다”고 강조했다.