Bing 검색 '카카오톡' 상위 3개 결과가 전부 중국발 피싱
목차
개요
Bing 검색에서 “카카오톡”을 검색하면 상위 3개 결과가 모두 중국발 피싱 사이트로 나타나는 심각한 보안 문제가 발견되었습니다. 공식 카카오톡 사이트는 4번째 결과로 밀려나 있어, 사용자가 피싱 사이트를 공식 사이트로 착각할 위험이 매우 높습니다. 특히 Edge 브라우저는 기본 검색엔진이 Bing이기 때문에, 기본 설정을 변경하지 않은 사용자들이 이 위협에 그대로 노출됩니다.
피싱 도메인 분석
Bing 검색 상위를 차지한 3개의 피싱 도메인은 다음과 같습니다.
| 순위 | 도메인 | 비고 |
|---|---|---|
| 1위 | apps-kakaocorp[.]com | 피싱 사이트 |
| 2위 | apps-kakaotalk[.]com | 피싱 사이트 |
| 3위 | pc-kakaotalk[.]com | 피싱 사이트 |
| 4위 | kakaocorp.com (공식) | 정상 사이트 |
이 도메인들은 모두 카카오 공식 도메인과 유사하게 만들어져 있어, 일반 사용자가 육안으로 구분하기 어렵습니다. 공식 카카오톡 다운로드 페이지보다 상위에 노출되어 있다는 점이 가장 큰 위험 요소입니다.
탐지 회피 기법
이 피싱 사이트들은 매우 정교한 탐지 회피 기법을 사용하고 있습니다. 접근 방식에 따라 다른 응답을 반환하여, 자동화된 보안 스캐너의 탐지를 우회합니다.
| 접근 방식 | HTTP 응답 | 결과 |
|---|---|---|
| 직접 접근 (브라우저 주소창) | 500 | 서버 에러 페이지 |
| Referer 헤더만 포함 | 403 | 접근 거부 |
| Referer + User-Agent 모두 포함 | 200 | 피싱 페이지 노출 |
이 방식 때문에 자동화된 보안 스캐너가 피싱 페이지를 탐지할 수 없으며, 신고를 하더라도 결과가 모호하게 나옵니다. 실제 검색엔진을 통해 접속하는 사용자에게만 피싱 페이지가 보이도록 설계되어 있습니다.
소스코드에 남겨진 흔적
피싱 사이트의 소스코드를 분석하면 중국 출처임을 알 수 있는 흔적들이 발견됩니다. og:locale 메타 태그가 “zh-cn”(중국어 간체)으로 설정되어 있으며, 이는 개발자가 실수로 남긴 것으로 추정됩니다. 또한 51.la라는 중국 웹 분석 서비스가 포함되어 있습니다. /static/js/tell.js 파일에서는 텔레그램 연락처 @xiaozhang0, @qingf80188이 노출되어 공격자의 연락 경로까지 확인할 수 있습니다.
악성코드 분석
피싱 사이트에서 다운로드되는 파일은 98MB 크기의 ZIP 파일입니다. 압축을 해제하면 KakaoTalk_S8542up.scr이라는 파일이 나옵니다.
파일 특성
| 항목 | 내용 |
|---|---|
| 파일 확장자 | .scr (화면 보호기 = 실행 파일) |
| 실제 형식 | NSIS v3.07 인스톨러 |
| 메타데이터 제작사 | Kakao Corp. |
| 메타데이터 버전 | 26.1.2.4957 |
| 권한 요청 | 관리자 권한 |
.scr 확장자는 Windows 화면 보호기 파일이지만 실질적으로 .exe와 동일하게 실행됩니다. 이를 이용해 사용자의 경계심을 낮추는 전략을 사용하고 있습니다.
페이로드 구조
94MB에 달하는 페이로드에는 WPS Office(중국 Kingsoft 제품) 구성 요소가 포함되어 있습니다. DcryptDll.dll이 페이로드를 복호화한 뒤 AppData 폴더에 악성 파일을 드롭합니다. 정상적인 오피스 프로그램 구성 요소를 포함시켜 보안 소프트웨어의 탐지를 어렵게 만들고 있습니다.
인프라 분석
3개의 피싱 도메인은 거의 동시에 등록되었으며, 동일한 인프라를 공유하고 있습니다.
도메인 등록 정보
| 항목 | 내용 |
|---|---|
| 등록 시간 간격 | 1초 차이 (01:34:01, 01:34:02) |
| Registry Domain ID | 3개 연번 (순차 등록) |
| IP 대역 | 동일 /24 서브넷 |
| TLS 인증서 | 7분 간격으로 발급 |
중국 인프라 연결
| 서비스 유형 | 제공 업체 |
|---|---|
| 도메인 등록 대행 | Tencent / DNSpod |
| CDN | Alibaba Cloud |
| 웹 분석 | 51.la |
도메인 등록부터 CDN, 분석 서비스까지 모두 중국 기업의 인프라를 사용하고 있습니다. 1초 간격의 도메인 등록과 순차적인 Registry Domain ID는 자동화된 도구로 일괄 등록했음을 시사합니다.
대응 방안
이 위협에 대비하기 위한 권장 사항은 다음과 같습니다.
- 카카오톡은 반드시 공식 사이트 kakaocorp.com에서만 다운로드해야 합니다.
- .scr, .exe 등 의심스러운 확장자의 바이너리 파일 실행을 피해야 합니다.
- Edge 브라우저 사용자는 기본 검색엔진을 Google 등으로 변경하는 것을 권장합니다.
- 기업 환경에서는 위 3개 도메인을 방화벽 및 DNS 필터에 차단 목록으로 등록해야 합니다.
- 다운로드한 파일이 관리자 권한을 요청하면 즉시 실행을 중단하고 삭제해야 합니다.
결론
Bing 검색에서 “카카오톡”을 검색했을 때 상위 3개 결과가 모두 중국발 피싱 사이트라는 것은 매우 심각한 보안 위협입니다. 정교한 탐지 회피 기법으로 자동화된 보안 스캐너를 우회하고, 실제 사용자에게만 피싱 페이지를 노출하는 방식은 기존의 보안 체계로는 대응이 어렵습니다. 소스코드에 남겨진 중국어 로케일, 중국 웹 분석 서비스, 텔레그램 연락처 등은 공격의 출처를 명확히 보여줍니다. 1초 간격의 도메인 등록, 동일 서브넷 IP, 중국 클라우드 인프라 사용 등 체계적으로 준비된 공격임을 알 수 있습니다. 사용자는 소프트웨어 다운로드 시 반드시 공식 사이트를 직접 방문하는 습관을 들여야 하며, 검색 결과를 맹신하지 않는 보안 의식이 필요합니다.