검색포털 사이트에서 이미지를 클릭하면 악성코드가 연결된 페이지로 이동하는 새로운 SEO 감염 공격 기법(Poisoning Attack)이 출현했다고 안철수연구소가 1일 밝혔다.



안철수연구소의 보도자료에 따르면 "구글 등의 검색엔진에서 'Presley Walker', 'Yuri Gagarin' 등 특정 인물을 검색해 이에 뜨는 이미지를 클릭하면 악성코드가 삽입된 사이트로 이동하는 사례가 발견됐다"고 전했다.



이 시스템은 사진을 클릭하면 "악성코드에 감염됐다"는 거짓경고가 화면에 뜬 뒤 파일을 다운로드해 실행하라는 유도 메시지가 나타난다. 그 뒤 해당 파일을 실행하면 허위백신이 설치되는데, 허위로 악성코드를 검출한 뒤 치료를 위해 결제를 요구한다.



안철수연구소 관계자는 "이는 SEO 포지셔닝 어택의 형태"라며 "한동안 잠잠하다 최근 새로운 유형의 공격이 확인됐다"고 말했다. 우리 나라에서 한창 나타나는 허위 백신 프로그램과 그 맥을 같이 한다고 봐도 무방한 구조다. SEO는 검색 엔진 최적화(Search Engine Optimization)의 약자다. 관계자는 더불어 "이를 예방하려면 웹브라우저 보안 제품을 설치해야 한다"고 말했다.



포털 이용자들은 대부분 검색 사이트에서 특정 키워드를 검색한 결과 중에서 첫 두세 페이지 정도만 보는 경우가 대부분이다. 따라서 각 검색엔진의 SEO 알고리즘을 알아내면, 자신의 블로그나 특정 사이트를 검색 결과 상위에 노출할 수 있다.



악성코드 제작자는 이를 악용, 이러한 알고리즘을 통해 검색 결과 상위에 특정 페이지를 노출, 이용자를 악성코드 유포 사이트로 유도한다. 이후 사용자가 악성코드를 내려받아 실행하면 허위백신에 감염시켜 금전을 요구한다는 것이다.



이전에도 'Haiti earthquake donate'(아이티 지진 기부), 'chile earthquake'(칠레 지진), 'Winter Olympics'(동계 올림픽), 'Kim Yuna Youtube'(김연아 유튜브) 등의 키워드를 이용해 이러한 SEO 포지셔닝 어택이 발생한 바 있다.



노광명 기자 [email protected]