구글 광고 타고 번진 유니스왑 피싱…최소 40만 달러 피해

구글의 '스폰서 광고'가 1년 넘게 암호화폐 피싱의 통로로 악용됐다는 지적이 나왔다. 해커들은 유니스왑(Uniswap)을 가장한 가짜 광고를 띄워 사용자를 피싱 사이트로 유도했고, 최소 수십만 달러 규모의 피해가 발생한 것으로 보인다.

13일(현지시간) 보안 연구진들에 따르면 공격자들은 구글 검색 결과 상단의 광고 영역을 노려 실제 유니스왑 웹사이트보다 먼저 노출되는 가짜 링크를 배치했다. 광고 계정을 직접 구매하거나 기존 광고주 계정을 탈취한 뒤, 진짜 서비스보다 높은 입찰가를 제시해 상단을 차지하는 방식이다.

특히 악성 광고는 겉보기에는 정상 URL처럼 보이도록 설계돼 탐지가 쉽지 않다. 표면상 안전해 보이는 주소 뒤에서 별도의 요소가 몰래 악성 코드를 불러오면서 구글의 자동 검수 시스템을 우회한 것으로 전해졌다. 사용자가 클릭하면 실제 유니스왑과 거의 비슷한 복제 사이트로 이동하고, 이후 네트워크 활동은 공격자 서버를 통해 조용히 전달된다.

온체인 분석가 ‘b-block’은 월요일 탈취 자금을 추적한 뒤 이 같은 가짜 유니스왑 사이트와 연결된 지갑을 발견했다고 밝혔다. 현재 확인된 두 개의 지갑에는 총 146 이더리움(ETH)이 보관돼 있으며, 가치는 약 30만6000달러 수준이다. 전체 피해 규모는 최소 40만 달러로 추정된다.

비영리 보안단체 SEAL은 이 같은 수법이 단발성 공격이 아니라 장기간 반복된 패턴이라고 설명했다. SEAL에 따르면 지난 3월 13일부터 30일 사이에만 127만 달러가 탈취됐고, 관련 악성 광고 링크 356개 이상을 차단했다. SEAL은 이 규모가 지난 1년 넘게 이어진 주간 공격 활동의 전형적인 수준이라고 지적했다.

웹3 마케팅업체 그린닷츠의 창업자 스테이시 무어도 가짜 스폰서 광고 화면을 공개하며 피해 사례를 알렸다. 그는 구글이 수년째 문제를 방치해 왔다고 비판했고, 디파이라마 역시 가짜 구글 광고가 암호화폐 이용자를 겨냥한 흔한 피싱 경로라고 경고했다.

이번 사례는 구글에만 국한되지 않는다. 최근에는 AI 도구의 공유 링크와 구글 광고를 함께 악용해 맥 사용자용 악성코드를 퍼뜨리는 캠페인도 포착됐다. 또 페이스북에서는 마이크로소프트(MSFT)를 사칭한 가짜 광고가 윈도우 11 다운로드 페이지로 연결되며 정보 탈취형 악성코드를 퍼뜨린 사례도 보고됐다.

보안 업계에서는 검색 플랫폼과 광고 네트워크를 노린 피싱이 당분간 계속될 가능성이 높다고 본다. 암호화폐 이용자가 자주 찾는 브랜드명일수록 공격 대상이 되기 쉬워, 검색 결과 상단 광고라도 반드시 별도 확인이 필요하다는 지적이 나온다.