🚨 SEO 전문가들을 노린 사이버 공격, SEMrush 광고 사칭 피싱 주의! 🔐

최근 SEO 전문가와 디지털 마케터들을 표적으로 삼는 사이버 공격이 급증하고 있습니다.
특히 유명한 디지털 마케팅 플랫폼 SEMrush를 사칭한 악성 Google 광고를 통해 피해자가 발생하고 있어
주의가 필요합니다.

이번 공격은 단순한 피싱이 아니라, 검색 광고(SEM)를 악용한 SEO 포이즈닝(SEO Poisoning) 형태로
정교하게 설계된 사기 수법입니다.

---

🧠 SEMrush란?

SEMrush는 검색엔진 최적화(SEO), 콘텐츠 마케팅, PPC 광고, SNS 분석 등
디지털 마케팅 전반을 지원하는 인기 툴입니다.
많은 SEO 전문가, 광고 담당자, 전자상거래 운영자, 콘텐츠 마케터들이 사용하고 있죠.

---

🧨 공격 방식 요약

이번 공격은 Malwarebytes의 보안 연구원 Jerome Segura와 SEO 전략가 Elie Berreby에 의해 처음 밝혀졌습니다.

💥 공격 시나리오

1. 악성 Google Ads 캠페인 생성
   • 검색어에 따라 SEMrush 관련 광고처럼 보이는 가짜 광고가 노출됩니다.
   • 실제 SEMrush와 유사한 도메인을 사용하지만, .com이 아닌 다른 상위 도메인(TLD)을 사용해 사칭.
2. 피싱 사이트로 유도
   • 광고를 클릭하면 가짜 SEMrush 로그인 페이지로 이동됩니다.
   • 사용자에게 Google 계정 로그인 입력을 유도합니다.
3. 자격 증명 탈취
   • 입력된 구글 계정 정보는 해커에게 전송됩니다.
   • 대부분의 마케터들은 SEMrush 계정과 Google 계정(Analytics, Ads 등)을 연동해 사용하고 있기 때문에
     다양한 기업 정보가 유출될 위험이 큽니다.

---

📌 이 공격이 위험한 이유

✅ 표적 대상이 ‘디지털 마케터 & SEO 전문가’라는 점

• 이들은 기업의 핵심 마케팅 정보에 접근 권한을 가지고 있음
• Google Ads, Analytics, Tag Manager, YouTube 계정까지 침해될 수 있음

✅ 정교하게 만들어진 피싱 사이트

• 실제 SEMrush 로그인 화면과 거의 동일한 UI
• 도메인 주소도 비슷하여 일반 사용자가 쉽게 속을 수 있음

✅ 계정 탈취 후 확산되는 ‘계단식 피싱(Cascading Fraud)’

• 탈취된 계정을 통해 또 다른 악성 광고 계정이 생성됨
• 이를 반복해 광고 생태계를 오염시키는 악순환 구조

---

🛡️ 예방을 위한 보안 수칙

🔐 1. 광고 클릭 시 주소(URL) 항상 확인

• 정식 SEMrush 주소는 https://www.semrush.com입니다.
• semrush.org, semrush.io, semrush-login.net 등의 유사 도메인 주의!

🔐 2. Google 2단계 인증(MFA) 반드시 활성화

• Google 계정 탈취를 막기 위한 기본적인 보안 절차입니다.

🔐 3. 로그인 정보는 항상 공식 홈페이지에서 입력

• 광고를 통한 로그인 시도는 최소화하세요.
• 가능하면 북마크된 공식 주소로 접속 후 로그인하세요.

🔐 4. 계정 접근 권한 정기 점검

• SEMrush와 연결된 Google 계정 권한을 정기적으로 점검하고, 불필요한 연결은 해제하세요.

🔐 5. Google Ads 관리자라면 계정별 ‘보안 가드레일’ 설정

• 마케팅 팀원들에게 **역할 기반 권한 관리(Role-based Access Control)**를 적용
• 의심스러운 로그인 시도를 탐지할 수 있도록 로그인 알림 설정

---

📣 결론: “디지털 마케팅 전문가도 이제는 보안 전문가여야 합니다”

이번 SEMrush 사칭 공격은 단순한 피싱이 아닙니다.
👉 디지털 마케팅 생태계를 겨냥한 고도화된 사이버 보안 위협입니다.

✅ 마케터와 SEO 전문가들도 보안 의식을 갖춰야 할 때입니다.
✅ 기업 데이터, 광고 계정, 분석 데이터의 유출은 단순한 계정 탈취 그 이상의 피해로 이어집니다.

🛡️ 지금 바로 팀과 함께 로그인 보안 강화, 광고 클릭 주의, 계정 권한 정비를 시작하세요.