2025.12.29 대규모 은행 계정 탈취(ATO) 조직의 핵심 거점인 'web3adspanels.org' 도메인과 데이터베이스 압수

요약

• 2025년 12월 22일, 미국 법무부(DOJ)는 구글과 빙(Bing) 등 주요 검색 엔진의 가짜 광고를 이용해 수천만 달러를 탈취해 온 대규모 은행 계정 탈취(ATO) 조직의 핵심 거점인 'web3adspanels.org' 도메인과 데이터베이스를 압수함.
• 이번 작전은 미국 조지아 북부지검과 에스토니아 법 집행 기관의 국제 공조로 이루어졌으며, 2025년 한 해 동안 급증한 계정 탈취 범죄에 대응하는 연방 정부 차원의 대대적인 소탕 작전의 일환임.

 

피해규모

• 확인된 피해액: 약 1,460만 달러(한화 약 190억 원)의 실제 금전 손실이 발생함.
• 잠재적 피해액: 공격자들이 시도한 총 탈취 금액은 약 2,800만 달러(한화 약 365억 원)에 달함.
• 영향 범위: 미국 전역에서 최소 19곳의 피해자(조지아주 소재 기업 2곳 포함)가 식별되었으며, 압수된 데이터베이스 내에서 수천 명의 도용된 금융 계정 정보가 발견됨.
• 관련 통계: 2025년 1월부터 현재까지 FBI 인터넷 범죄 신고 센터(IC3)에 접수된 유사 사건은 5,100건 이상이며, 총 피해 신고액은 2억 6,200만 달러를 상회함.

 

원인

• 공격 기법: 검색 엔진 최적화(SEO)를 악용한 'SEO 포이즈닝(SEO Poisoning)' 및 말버타이징(Malvertising) 기법을 사용함.
• 침투 경로: 사용자가 검색 엔진에 은행 이름을 검색할 때 상단에 노출되는 가짜 유료 광고(Sponsored Ads)를 클릭하도록 유도함. 이후 실제 은행 사이트와 유사하게 제작된 피싱 페이지로 리다이렉트(Redirect)시켜 로그인을 유도함.
   
• 기술적 결함: 가짜 사이트에 내장된 악성 소프트웨어가 사용자의 로그인 정보를 실시간으로 탈취했으며, 공격자들은 이를 관리하기 위해 'web3adspanels.org'라는 전용 제어 패널(Backend Control Panel)을 운영함.
• 관리적 요인: 검색 엔진 광고 검수 시스템의 허점을 이용해 신뢰도 높은 금융기관 광고를 완벽하게 모방하여 사용자들이 의심 없이 개인정보를 입력하게 함.