구글이 대규모 문자 메시지 피싱(스미싱) 공격을 벌여 온 중국 기반 사이버 범죄조직 ‘라이트하우스(Lighthouse)’를 상대로 소송을 제기했다. 구글은 이들이 미국 내에서 최대 1억 장에 달하는 신용카드 정보를 탈취했으며, 피해자가 최소 100만 명을 넘는다고 밝혔다.
드레인 프라도 구글 법률 고문은 12일(현지시간) CBS 뉴스 인터뷰에서 “라이트하우스는 미국 전역을 대상으로 대량 스미싱 공격을 감행해 1500만 장에서 1억 장 수준의 잠재적 신용카드 정보를 훔쳤다”며 “현재까지 확인된 피해자도 100만 명 이상”이라고 말했다.
라이트하우스의 주요 범행 방식은 문자 메시지를 이용한 스미싱이다. 이들은 택배 분실, 미납 통행료, 계정 잠금 등 긴급 상황을 가장해 문자를 발송하고, 피해자가 링크를 누르면 가짜 사이트로 연결되도록 설계했다. 해당 사이트는 비밀번호, 신용카드 번호 등 민감 정보를 입력하도록 유도해 이를 탈취하는 방식이다.
구글은 이번 소송에서 ‘존 도스 1~25’라는 이름으로 불리는 미확인 운영자들을 대상으로 법적 책임을 묻고 있다. 구글은 자사의 로고를 도용한 가짜 로그인 페이지 및 정보 탈취 사이트만 100여 개 이상 확인했다고 설명했다.
프라도 고문은 이번 소송이 미국의 ‘부패 및 조직범죄 처벌법(RICO법)’에 근거한 것으로, 피싱 범죄 조직을 대상으로 한 첫 사례라고 밝혔다. 그는 “이번 소송은 피해자의 금전 손실을 직접 회복하기 위한 목적보다, 향후 유사 범죄의 확산을 억제하기 위한 조치”라고 말했다.
사이버보안 기업 아코즈 랩스의 케빈 고스샬크 CEO는 “스미싱으로 잃은 자금을 회복하는 것은 현실적으로 어렵지만, 구글의 소송은 범죄조직의 운영을 방해하는 데 큰 의미가 있다”고 평가했다. 그는 “많은 사이버 범죄 조직이 캄보디아 등 범죄자 송환이 어려운 국가에서 활동하고 있어 추적이 쉽지 않다”면서도 “미국 내 법적 조치가 가해지면 범죄 배후 인물들이 미국을 방문할 수 없어 추가적인 압박 요인이 된다”고 설명했다.
구글의 이번 소송으로 국제 사이버 범죄조직에 대한 제재와 추가 대응 논의가 본격화될 것으로 보인다.
