본문 바로가기

벌새::Security

구글(Google) PDF 검색 링크 주의

사회적 이슈를 통해 해외 가짜 백신(Rogue AV)를 유포하는 방식은 현재 활발하게 진행이 되는 하나의 기법으로 구글(Google) 검색에 노출을 시켜 많은 인터넷 사용자들을 속이고 있습니다.

그런 유포 방식 중에 검색 결과 중 그림과 같이 특정 항목의 경우 [PDF]라는 문서 표시를 한 결색 결과를 보실 수 있는데, 해당 검색 내용은 PDF 문서로 구성되어 있다는 의미를 뜻합니다.

실제로 정상적인 PDF 문서를 포함한 검색 결과라면 사용자가 해당 링크를 클릭하였을 경우 그림과 같은 PDF 문서 파일을 다운로드하도록 하거나, 사용자 컴퓨터 환경에 따라서는 웹 브라우저 상에서 그대로 PDF 문서를 열도록 구성되어 있습니다.(개인적으로 사용자의 편의상 웹 브라우저에서 PDF 문서를 바로 열도록 설정하는 동작은 보안상 추천하지 않습니다.)

AVG Active Surf-Shield 차단 모습

하지만 PDF 문서로 표시된 검색 결과가 악의적인 링크인 경우 사용자가 해당 링크를 클릭하였을 경우에는 PDF 문서가 아닌 그림과 같은 악성 웹 페이지에 접근하려는 시도를 하는 경우가 있습니다.

이 부분에 대해 먼저 구글에서 제공하는 기능으로 간단하게 확인할 수 있는 방법 중의 하나는 해당 검색 결과에 표시되는 [Quick View] 기능을 통해 확인해 보면 다음과 같습니다.

구글에서는 해당 링크에는 PDF 문서를 발견하지 못하였다는 메시지를 통해 실제 해당 링크를 클릭하였을 경우 PDF 문서가 없다는 것을 의미합니다.

사용자가 무심코 해당 링크를 클릭할 경우에는 그림과 같이 HTML을 이용한 리다이렉트(Redirect) 방식으로 특정 웹 사이트로 이동을 하도록 설정되어 있는 것을 발견할 수 있습니다.

테스트에서는 이미 해당 동작을 차단하여 더 이상 확인할 수 없었지만, 해외 정보에 따르면 가짜 백신 스캐너 페이지로 이동하여 허위 진단 정보를 바탕으로 프로그램을 설치하도록 유도하여 유료 결제를 시키는 악성코드를 설치한다고 알려져 있습니다.

그러므로 사용자는 구글에서 제공하는 PDF 문서 검색 결과를 무조건적으로 문서 파일로 오해하지 않도록 주의하시기 바랍니다.