최근 구글에서 ‘카카오톡 PC’를 검색하면 공식 도메인보다 앞서 노출되는 비공식 다운로드 사이트가 눈에 띄게 늘고 있다. 겉보기에는 정상적인 설치 파일을 제공하는 것처럼 보이지만, 실제로는 광고 수익 목적의 페이지이거나 스크립트가 난독화돼 있고, 여러 번 리다이렉션을 거치는 구조 등 악성 배포에 활용되기 쉬운 징후가 다수 확인된다.
Criminal IP Domain Search 분석 결과, 대부분의 사이트는 생성된 지 얼마 되지 않은 신규 도메인, 출처가 불분명한 스크립트, 의심스러운 HTML 요소 등을 포함하고 있어 일반 사용자가 위험 여부를 즉각적으로 파악하기 어렵다.
“카카오톡 PC” 검색 시 최상단에 노출되는 비공식 다운로드 사이트
한 SNS 이용자는 “카카오톡 PC를 검색했더니 공식 사이트가 아닌 곳이 최상단에 노출된다”고 제보했다. 이러한 사이트들은 카카오톡의 UI를 모방해 사용자 의심을 줄이고, 다운로드 버튼 클릭 시 광고 페이지를 다단계로 거치거나 난독화된 스크립트를 즉시 실행하는 방식으로 동작한다. 일부 페이지에서는 다운로드 경로가 지속적으로 변경되거나 원치 않는 프로그램(PUP)이 번들로 설치되는 사례도 확인됐다. 높은 검색량을 가진 소프트웨어는 공격자에게 특히 매력적인 타깃이 되기 때문에 이러한 비공식 페이지는 짧은 시간 안에 빠르게 증가하는 경향이 있다.
Criminal IP Domain Search 분석으로 확인된 의심 패턴
1) 광고 수익 목적의 비공식 다운로드 사이트
Criminal IP Domain Scan Report: https://kakaotalk[.]download[.]beer
해당 도메인은 겉보기에는 정상적인 카카오톡 설치 파일을 제공하는 것처럼 보이지만, Criminal IP의 AI 분석 결과 여러 의심 징후가 확인되었다. 도메인명에 브랜드와 무관한 ‘beer’ 문자열이 포함되어 있고, 페이지 내부에서도 정상 사이트에서는 보기 어려운 HTML 요소가 감지되었으며, 전체 스코어링 역시 Dangerous 등급으로 평가되었다. 참고로 Summary의 사이트 설명은 엔터프라이즈 전용 신규 기능으로, 해당 기능은 AI 기반 분석을 통해 도메인 설명·위험 요인 등을 자동으로 보강한다.
실제 다운로드 파일이 카카오톡 설치 파일과 동일하더라도, 이는 공식 경로가 아닌 광고 수익 목적의 비공식 배포 방식에 가깝다. 이러한 유형의 사이트는 악성코드가 포함되지 않았더라도 다단계 리다이렉션과 광고 트래픽 유도로 사용자를 원치 않는 경로로 유도할 가능성이 높아 안전하지 않다.
2) 피싱 가능성이 높은 사이트
Criminal IP Domain Scan Report: http://kakaotalk[.]new-version[.]download
이 도메인은 Criminal IP 분석 결과 여러 위험 징후가 동시에 확인되었다. 페이지 내부에는 정상 사이트에서 보기 어려운 의심 HTML 요소가 포함되어 있었고, 특히 난독화된 스크립트가 총 8개나 발견되어 악성 행위 은닉이나 탐지 회피, 리다이렉션 트리거 등 공격에 악용될 가능성이 높게 평가되었다. 또한 SSL 환경이 불완전하거나 인증 정보가 일치하지 않는 문제가 확인되었는데, 이러한 구성은 피싱 페이지나 임시로 제작된 악성 배포 사이트에서 자주 나타나는 전형적인 패턴이다.
Criminal IP Domain Search와 Asset Search를 함께 활용하면 이러한 위험 신호들을 보다 명확하게 식별할 수 있다. 도메인의 생성 시점이나 브랜드와의 연관성을 찾기 어려운 문자열 구성, 정상적이지 않은 SSL 인증 정보, 페이지 내부에 숨겨진 난독화 스크립트나 의심 요소의 존재 여부를 분석할 수 있으며, IP 인프라의 악용 이력까지 종합적으로 파악할 수 있다.
추가 보호 수단: Criminal IP 브라우저 확장 프로그램
카카오톡 PC와 같은 인기 소프트웨어를 악용한 피싱 사이트가 증가하는 만큼, 평소 웹 브라우징 단계에서 위험 링크를 사전에 차단하는 것도 효과적이다. Criminal IP에서 제공하는 크롬 브라우저 확장 프로그램은 사용자가 접속하기 전에 링크의 위험도를 실시간으로 분석해, 피싱·멀웨어·광고 스팸 기반 사이트로의 접속을 자동으로 차단한다.
Criminal IP 확장 프로그램은 다음과 같은 기능을 제공한다.
- 웹사이트 방문 전 링크 스캔 및 5단계 위험도 표시
(Safe / Low / Moderate / Dangerous / Critical) - 의심스러운 URL 클릭 시 즉시 차단
- 최신 생성 피싱 도메인까지 AI 기반으로 실시간 탐지
특히 검색 결과 페이지에서 비공식 다운로드 링크를 클릭하기 쉬운 사용자 환경을 고려하면, 브라우저 확장 프로그램을 함께 사용하는 것이 안전성을 크게 높여준다. 크롬 웹스토어에서 무료로 설치할 수 있으며, 가정·기업 환경 모두에 적합하다.
FAQ
Q1. 비공식 다운로드 사이트가 모두 악성인가요?
모두가 악성은 아니지만, 광고 수익 유도, 원치 않는 프로그램 설치, 악성 링크 삽입 등 다양한 위험이 존재하므로 공식 사이트 외 경로는 모두 위험하다고 보는 것이 안전합니다.
Q2. Criminal IP Domain Search로 어떤 정보를 볼 수 있나요?
도메인 생성일, WHOIS, SSL 인증서, HTML·JS 스크립트 분석, 페이지 스냅샷, 피싱 여부, 위험 점수 등 도메인 위험성을 빠르게 판단할 수 있는 핵심 정보를 확인할 수 있습니다.
결론
카카오톡처럼 검색량이 많은 서비스는 공격자에게 가장 먼저 악용되는 타깃이 된다. 검색엔진 상단에 노출된 비공식 다운로드 페이지를 통한 악성 배포, 광고 트래픽 유도, 브라우저 하이재킹 등 다양한 위협이 증가하는 만큼, 사용자는 반드시 공식 경로를 통한 다운로드 습관을 갖춰야 한다. Criminal IP Domain Search는 도메인 생성일·스크립트 패턴·SSL 정보·호스팅 인프라 등 다양한 지표를 기반으로 비공식 사이트의 위험성을 빠르게 식별할 수 있는 강력한 분석 도구다. 공식 다운로드 페이지를 사칭한 사이트가 증가하고 있는 현재, 사용자와 기업 모두 도메인 검증 및 모니터링 체계 강화가 필요하다.
관련하여 도메인 바꿔가며 버티는 불법 웹툰 ‘블랙툰’, 사기 사이트 판별법은? 글을 참고할 수 있다.
데이터 출처 : Criminal IP (https://www.criminalip.io/ko), X (https://x.com/ShinGamja/status/1990946400339918890)
관련 글 : https://www.criminalip.io/ko/knowledge-hub/blog/30025