구글의 채용(Careers) 부서를 사칭한 피싱 공격이 구직자를 노려 구글 계정 정보를 탈취하는 사례가 확인됐다. 사블라임 시큐리티(Sublime Security) 분석에 따르면 공격자는 구글 채용팀을 사칭한 이메일을 발송하며 “대화가 가능하신가요?”라는 문구로 관심을 유도했다. 피해자가 응답하면 상담 예약(Book a Call) 절차를 거쳐 구글 로그인 페이지를 위장한 피싱 사이트로 유도하는 구조였다.

이 공격은 구직자의 심리를 교묘히 이용해 기술적 침투보다 인간의 실수를 노린 사회공학적 기법에 의존했다. 사블라임 시큐리티 연구진은 블로그 게시글에서 “이 피싱 캠페인의 최종 목적은 구글 계정 자격 증명을 수집해 피해자의 이메일, 파일, 클라우드 데이터 전체에 접근하는 것”이라고 분석했다.

정교한 위장과 탐지 회피 기법

사블라임 시큐리티의 분석에 따르면 공격은 영어·스페인어·스웨덴어 등 다국어로 작성된 구글 채용팀 위장 이메일에서 시작된다. 발신 주소는 실제 채용 서비스와 유사한 도메인을 사용했으며, 이메일 내에는 ‘Book a Call’ 링크가 포함돼 있었다. 피해자가 이를 클릭하면 구글 스케줄러 화면을 모방한 페이지가 열리고, 최종적으로는 가짜 로그인 페이지로 이동한다.

공격자는 apply.gcareersapplyway[.]com 등 최근 등록된 도메인을 사용하고, ‘구글 커리어’라는 문구를 HTML 태그로 분리해 스캐너 탐지를 회피했다. 사블라임 시큐리티 연구진은 “공격자가 ‘구글(Google)’의 각 글자를 태그로 분리해 삽입함으로써 탐지 시스템이 단어를 인식하지 못하게 만들었다”고 설명했다.

또한 공격자는 세일즈포스, 리크루티(Recruitee), 아데코(Addecco), 머크랙(Muckrack) 등 정상 서비스 계정을 악용해 이메일을 전송했다. 상담 예약 버튼 클릭 이후에는 클라우드플레어의 인증 페이지를 위장한 ‘인간 인증 단계’를 거치게 한 뒤, 가짜 스케줄러 및 자격 증명 탈취 폼으로 이동시켰다.

공격 인프라와 기술적 특징

사블라임 시큐리티는 해당 피싱 캠페인에 복합적인 백엔드 인프라가 구축돼 있다고 밝혔다. 공격자는 단순한 정적 페이지가 아니라 명령·제어(C2) 서버를 포함한 구조를 사용했다. 예를 들어 gappywave[.]com, gcareerspeople[.]com 같은 신규 도메인과, satoshicommands[.]com 같은 C2 서버가 연동돼 피해자의 인증 정보가 실시간으로 전송되는 형태였다.

HTML과 자바스크립트에는 ‘gw.php’ 파일과의 상호작용 코드가 포함돼 있었으며, 이는 서버와의 동적 통신을 처리하는 역할을 했다. 이로써 공격자는 정적 복제 페이지가 아닌 동적 피싱 킷을 운용한 것으로 분석됐다.

대응 및 보안 권고

사블라임 시큐리티는 공격과 관련된 침해 지표(IOC) 목록을 공개했으며, 여기에는 웹소켓 서버 주소와 랜딩 페이지 도메인이 다수 포함됐다. 별도의 공식 권고는 발표되지 않았지만, 보안 전문가는 다음과 같은 기본 대응을 제시했다.

• 다중 인증(MFA)을 강제 적용해 계정 탈취 위험 최소화
• 아이덴티티 중심 방어 전략 도입
• 비정상 로그인 위치 및 패턴 모니터링
• 채용 제안 이메일에 대한 주의 교육 강화

공격 주체는 아직 식별되지 않았으나, 최근 유사한 피싱 캠페인 사례가 북한 APT 기업과 연계된 것으로 보고된 바 있다. 전문가는 이번 공격 역시 동일하거나 유사한 배후 기업의 활동일 가능성을 배제하지 않고 있다.
dl-itworldkorea@foundryco.com