뉴스.23 AI 기반 사기 수법이 구글 디스커버를 악용해 공포 조장 광고와 사기를 유포하고 있습니다.

기사요약:

보안 기업 HUMAN이 발견한 '푸쉬파간다' 캠페인은 AI로 자동 생성한 가짜 뉴스 기사를 구글 디스커버 피드에 노출시켜 사용자를 유인한다. 사용자가 사이트에 접속하면 자극적인 푸시 알림 구독을 유도하고, 이를 클릭할 때 발생하는 트래픽을 이용해 광고 수익을 가로채거나 추가적인 금융 사기를 저지른다. 이는 3,000개 이상의 도메인이 얽힌 거대 자금 세탁 인프라(Low5)를 기반으로 작동하며, 특정 앱이 삭제되어도 수익 구조가 유지되는 고도로 정교한 사기 수법이다.

1. 공격자들은 AI를 이용해 대량의 가짜 뉴스 콘텐츠를 생성하고, 검색 엔진 최적화(SEO) 기법을 악용하여 구글 디스커버 같은 개인화 피드 상단에 기사를 노출시킵니다. 사용자는 신뢰할 수 있는 플랫폼에 뜬 뉴스이기에 의심 없이 클릭하게 됩니다.
2. 기사를 보러 들어온 사용자에게 가짜 법적 위협이나 경고창을 띄워 알림 허용'을 누르게 만듭니다. 이후 기기 화면에는 지속적으로 스케어웨어(공포 유발) 알림이 뜨며, 사용자가 이를 클릭할 때마다 사기꾼들이 운영하는 사이트로 연결되어 막대한 광고 수익(유효하지 않은 트래픽)을 창출합니다.
3. 이 캠페인은 'Low5'라고 불리는 거대 사기 네트워크의 일부입니다. 이들은 3,000개 이상의 도메인을 공유하며 광고 수익을 세탁합니다. 특정 악성 앱이나 사이트가 차단되더라도, 다른 도메인을 통해 즉시 복제 및 수익 창출이 가능하도록 설계되어 있어 완전한 박멸이 어렵습니다.

결론:

위협 행위자들이 AI 생성 콘텐츠와 신뢰받는 플랫폼(구글 등)을 결합하여 과거보다 훨씬 정교하고 대규모인 사기 행각을 벌이고 있다. 구글이 패치를 배포했지만, 공격자들의 수익 창출 인프라(현금 인출 도메인 등)가 여전히 건재하므로 지속적인 인텔리전스 탐지와 사용자의 주의가 필수적이다.

 

개인 의견:

기사에서 언급된 'Low5' 네트워크의 무서운 점은 생태계의 복원력이라고 볼 수 있다.. 앱 하나를 삭제하는 것은 꼬리 자르기에 불과하며, 3,000개가 넘는 도메인이 서로의 수익 계층을 공유하며 자금을 세탁하는 구조는, 결국 단순한 차단을 넘어, 이들이 광고비를 현금화하는 수익 구조(Money Trail) 자체를 국가적으로 차단하는 대응을 통해 해결해야 한다고 본다.

 

 

<용어정리>

• 구글 디스커버(Google Discover): 구글 앱이나 모바일 웹 첫 화면에서 사용자의 관심사에 맞춰 자동으로 뉴스나 콘텐츠를 보여주는 서비스.
• SEO (검색 엔진 최적화): 특정 웹사이트가 검색 결과 상단에 노출되도록 기술적으로 조절하는 방법입니다. 사기꾼들은 이를 악용해 가짜 뉴스를 상단에 올렸다.
• 푸쉬파간다(푸시 + 프로파간다): AI가 쓴 가짜 뉴스로 사람을 홀리고, 브라우저 알림(Push) 기능을 악성 확성기 삼아, 광고주들의 돈을 대규모로 털어가는 현대판 광고 사기 캠페인.
• Push (푸시): 스마트폰이나 브라우저 상단에 뜨는 '알림' 기능.
• Propaganda (프로파간다): 보통 정치적 목적을 위해 왜곡된 정보를 퍼뜨리는 '선전'을 의미하지만, 보안 세계에서는 사용자의 심리를 조작하기 위해 퍼뜨리는 허위 정보나 가짜 뉴스라는 맥락으로 쓰였다.
• Low5는 이번 기사에서 폭로된 거대 광고 사기 조직이자 그들이 사용하는 범죄 인프라의 이름

• 스케어웨어(Scareware): 사용자의 공포심(예: "바이러스 감염됨!", "법적 조치 예정!")을 자극하여 유료 결제를 유도하거나 악성 소프트웨어를 설치하게 만드는 사기 기법.
• 입찰 요청(Bid Request): 온라인 광고가 사용자에게 노출되기 직전, 광고 지면을 구매하기 위해 실시간으로 발생하는 자동 경매 과정입니다. 이 숫자가 높다는 건 그만큼 광고 사기가 대규모로 일어났다는 뜻.
• 현금 인출 사이트(Cash-out Sites): 실제 정보는 없고 광고만 가득한 가짜 사이트입니다. 봇이나 속은 사용자를 이곳으로 보내 광고주로부터 부당한 광고비를 받아내는 용도로 쓰인다.
• 트래픽(Traffic): 웹사이트에 방문하는 이용자의 수나 데이터의 양을 말합니다. 사기꾼들은 가짜 트래픽을 만들어 광고비를 가로챈다.
• BADBOX 2.0: 제품이 공장에서 만들어질 때부터 이미 해킹되어 있다는 것.(아래 내용 참고)

• 공급망 공격: 저가형 안드로이드 TV 박스, 스마트폰, 태블릿 등이 공장에서 출고될 때 이미 펌웨어(기본 시스템)에 백도어(뒷문)가 심어진 채로 판매된다.
• 좀비 기기(Botnet): 전 세계적으로 약 100만 대 이상의 기기가 감염되었으며, 사용자가 TV를 보거나 태블릿을 쓰는 동안 백그라운드에서 공격자의 명령을 수행합니다

 

+보충 설

<푸쉬파간다 구조>

공격자가 3,000개의 '유령 도메인'을 미리 만들어 광고 거래소에 등록해둡니다.

1. 사용자가 [가짜 뉴스]를 클릭합니다.
2. 이 사용자는 3,000개 중 랜덤하게 선택된 몇 개의 유령 사이트를 순식간에 거치게 됩니다 (리다이렉션).
3. 광고주는 3,000개의 서로 다른 사이트에서 광고가 정상적으로 노출된 것으로 보고, 수익을 3,000군데로 나누어 정산합니다.
4. 공격자는 이 3,000개의 계정에서 나온 돈을 한곳으로 모읍니다.