라스트패스(LastPass)나 1패스워드(1Password)와 같은 비밀번호 관리자 프로그램에 2022년은 험난한 해였다. 그 사이 오픈소스 서비스인 비트워든(Bitwarden)가 이상적인 대안으로 떠올랐으나, 그 역시 유명세를 톡톡히 치르고 있다. 최근 일부 악의적인 행위자가 합법적인 비트워드 다운로드 사이트를 가장한 악의적인 URL을 구글에서 광고한 사례가 알려졌다.
비트워든 포럼과 레딧 사용자가 의심스러운 광고를 보기 시작한 이후 비트워든 대표는 사용자에게 구글 검색을 통해 다운로드하지 말고 공식 페이지에서 다운로드하도록 권장하면서 이 같은 사기에 대해 경고했다. 불법 광고를 제거하려면 구글에 내장된 신고 도구를 사용하는 방법뿐이다.
악의적인 행위자가 합법적인 광고 채널에 비용을 지불해 가짜 정보를 퍼뜨렸다는 사실은 해당 광고 채널의 관리 부족을 의미한다. 새로운 소식은 아니다. 이달 초 구글은 ‘AMD driver’로 검색했을 때 사용자를 맬웨어 다운로드 사이트로 보내는 사이트에 대한 광고를 집행했다. 구글은 검색 화면 상단에 노출되는 텍스트 광고의 광고 라벨을 눈에 띄지 않게 표시해 사용자의 판단을 흐리게 한다. 구글만의 문제는 아니다. 개인적으로 필자는 마이크로소프트 빙(Bing)을 통한 검색에서도 유사한 가짜 사이트가 광고로 나타나는 것을 목격했다.
 |
ⓒ Foundry |
비트워든 포럼과 레딧 사용자가 의심스러운 광고를 보기 시작한 이후 비트워든 대표는 사용자에게 구글 검색을 통해 다운로드하지 말고 공식 페이지에서 다운로드하도록 권장하면서 이 같은 사기에 대해 경고했다. 불법 광고를 제거하려면 구글에 내장된 신고 도구를 사용하는 방법뿐이다.
악의적인 행위자가 합법적인 광고 채널에 비용을 지불해 가짜 정보를 퍼뜨렸다는 사실은 해당 광고 채널의 관리 부족을 의미한다. 새로운 소식은 아니다. 이달 초 구글은 ‘AMD driver’로 검색했을 때 사용자를 맬웨어 다운로드 사이트로 보내는 사이트에 대한 광고를 집행했다. 구글은 검색 화면 상단에 노출되는 텍스트 광고의 광고 라벨을 눈에 띄지 않게 표시해 사용자의 판단을 흐리게 한다. 구글만의 문제는 아니다. 개인적으로 필자는 마이크로소프트 빙(Bing)을 통한 검색에서도 유사한 가짜 사이트가 광고로 나타나는 것을 목격했다.
 |
구글 광고로 표시된 가짜 비트워든 웹사이트. 실제 주소는 bitwarden.com이다. ⓒ rajatkshaju/Reddit |
사용자가 캡처한 화면에 따르면, 가짜 비트워든은 픽셀 단위의 완벽한 방식으로 비밀번호 관리자의 로그인 페이지를 설득력 있게 재현했다. 가짜임을 판별할 수 있는 유일한 방법은 진짜 URL과 가짜 사이트의 URL을 비교하는 것이다. 이 경우 가짜 주소는 ‘bitwardenlogin.com’이었다. 사용자가 가짜 사이트에 로그인하면 사이트 소유주는 해당 사용자의 비트워든 로그인 정보를 얻게 되는데, 비밀번호 관리자 프로그램인 것을 고려하면 그 결과는 처참할 것이다. 비트워든이 유명한 도구이고 IT에 익숙하지 않은 사용자에게도 자주 권장되는 프로그램인 만큼 구글이 자체 광고 채널 관리에 대한 부담을 일반적인 인터넷 사용자에게 지우는 행태는 개선될 필요가 있다.
editor@itworld.co.kr
Michael Crider editor@itworld.co.kr
저작권자 한국IDG & ITWorld, 무단 전재 및 재배포 금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.
