그룹아이비, FIFA 공식 사이트·SSO 인증 흐름 복제한 대규모 피싱 캠페인 탐지

4,300개 이상 사칭 도메인 확인…300개 이상은 특정 위협 행위자가 직접 운영

가짜 티켓·스트리밍·베팅·위조 상품까지 확산, 공식 포털 이용과 MFA 설정 권고

2026 FIFA 월드컵 개막을 앞두고 축구 팬을 겨냥한 대규모 사이버 사기 인프라가 이미 가동 중인 것으로 나타났다. 글로벌 사이버 보안 기업 그룹아이비(Group-IB)는 FIFA 공식 웹사이트를 사칭한 피싱 캠페인과 가짜 티켓 판매, 위조 상품, 불법 스트리밍, 사기성 베팅 사이트 등 월드컵 관련 온라인 범죄 생태계를 추적한 결과를 9일 공개했다.

그룹아이비가 이번 조사에서 핵심 위협으로 지목한 조직은 ‘고스트 스타디움(GHOST STADIUM)’이다. 그룹아이비는 이 조직을 중국어권 기반의 금전 목적 위협 행위자로 분석했다. 고스트 스타디움은 2025년 11월 처음 포착됐으며, 현재 300개 이상의 활성 도메인을 통해 FIFA 계정 탈취와 가짜 티켓 판매를 동시에 진행하는 것으로 파악됐다.

이번 캠페인의 특징은 단순한 가짜 페이지 수준을 넘어선 정교함이다. 그룹아이비에 따르면 공격자는 FIFA 공식 웹사이트 화면은 물론 싱글 사인온(SSO) 인증 절차까지 실제 사이트와 거의 구분하기 어렵게 복제했다. 사용자가 로그인 정보나 결제 정보를 입력하면 공격자는 이를 탈취한 뒤 피해자를 실제 FIFA 사이트로 넘겨 이상 징후를 알아차리기 어렵게 만드는 방식이다.

고스트 스타디움이 활용한 피싱 키트는 맞춤형 리액트(React) 기반으로 제작됐으며, 중국 오픈소스 UI 라이브러리인 레이유아이(Layui) 프레임워크를 사용한 것으로 분석됐다. 이 피싱 키트는 11개 언어를 지원해 특정 지역이 아닌 전 세계 축구 팬을 대상으로 확장될 수 있는 구조를 갖췄다.

피해자를 끌어들이는 주요 경로는 소셜미디어 광고다. 그룹아이비는 300개 이상 도메인에서 공통으로 쓰이는 메타 픽셀 ID를 확인했으며, 공격자가 페이스북과 인스타그램 광고를 활용해 팬들에게 직접 접근하고 있다고 설명했다. 일부 가짜 티켓 광고는 낮은 가격과 카운트다운 타이머를 내세워 구매를 서두르게 만드는 방식으로 설계됐다.

결제 방식도 다양하다. 공격자는 카드 결제 입력창, 제3자 결제 게이트웨이, P2P 결제 앱, 지역 결제 시스템, 암호화폐 결제 등을 조합해 피해자 유형과 국가별 결제 환경에 맞춘 수익화 구조를 만든 것으로 조사됐다. 특히 암호화폐 결제는 환불이나 지불 취소가 어렵다는 점에서 피해 회복 가능성을 낮추는 요소로 지적된다.

그룹아이비는 이번 월드컵을 겨냥한 사기 수법이 고스트 스타디움 한 조직에 그치지 않는다고 봤다. 조사 결과 FIFA 계정 인증 정보 피싱, 가짜 티켓 판매, 가짜 스트리밍 플랫폼, 위조 상품 판매, 사기성 베팅·카지노 사이트, 정보 탈취형 악성코드 기반 인증 정보 수집 등 6개 유형의 사기 수법이 병행되고 있었다.

이 가운데 FIFA 공식 웹사이트를 사칭한 도메인은 2025년 8월 이후 4,300개 이상 등록된 것으로 확인됐다. 이 중 300개 이상은 고스트 스타디움이 운영하는 활성 피싱 도메인으로 분류됐다. 이 밖에도 대회 개막 시점에 맞춰 활성화될 가능성이 있는 의심 도메인, 정보 탈취 악성코드 운영자, 피싱 키트와 자동화 도구를 판매하는 다크웹 공급망이 별도 위협 행위자로 포착됐다.

그룹아이비는 이미 다크웹 시장에서 FIFA 계정 인증 정보 2,513쌍이 유통되고 있으며, FIFA 관련 데이터가 포함된 정보 탈취 로그도 약 13만 건 확인됐다고 밝혔다. 이는 단순한 티켓 사기를 넘어 계정 탈취, 신원 도용, 카드 정보 유출, 2차 금융사기 등으로 피해가 확대될 수 있음을 보여준다.

가짜 스트리밍 사이트도 주요 위험 요소다. 그룹아이비는 월드컵 경기를 무료 또는 프리미엄으로 중계한다고 홍보하는 약 55개 도메인을 확인했다. 이러한 사이트는 구독료를 받은 뒤 실제 콘텐츠를 제공하지 않거나, 사용자의 기기에 정보 탈취형 악성코드와 원격접근트로이목마(RAT)를 심는 방식으로 추가 피해를 유발할 수 있다.

위조 상품과 베팅 사기도 함께 확산되고 있다. 그룹아이비는 약 56개의 위조 상품 관련 도메인과 텔레그램 채널, 약 32개의 사기성 베팅·카지노 도메인을 확인했다. 이들 사이트는 결제 정보와 개인 식별 정보를 수집한 뒤 카드 사기 시장이나 신원 도용 범죄에 악용할 가능성이 있는 것으로 분석됐다.

그룹아이비는 스포츠 이벤트를 겨냥한 사이버 범죄가 도메인 차단만으로 해결되기 어려운 단계에 들어섰다고 진단했다. 하나의 피싱 사이트를 폐쇄하더라도 같은 키트와 결제망, 광고 채널, 다크웹 공급망을 통해 다른 도메인이 즉시 활성화될 수 있기 때문이다. 이에 따라 브랜드 보호, 위협 인텔리전스, 결제 사기 탐지, 수사기관 협력, 플랫폼 대응이 함께 작동하는 통합 대응 체계가 필요하다고 강조했다.

일반 팬을 위한 권고 사항도 제시됐다. 월드컵 티켓은 반드시 FIFA 공식 포털에서만 구매해야 하며, 소셜미디어 광고나 메신저 채널을 통해 유입되는 티켓 판매 링크는 클릭하지 않는 것이 안전하다. 특히 암호화폐 결제를 요구하는 FIFA 티켓 제안은 사기로 간주해야 한다. FIFA 계정에는 다단계 인증(MFA)을 설정하고, 로그인 전 도메인 주소가 정확한지도 반드시 확인해야 한다.

이미 의심스러운 사이트에 계정 정보나 결제 정보를 입력했다면 즉시 비밀번호를 변경하고, 동일한 비밀번호를 쓰는 다른 서비스도 함께 점검해야 한다. 결제 정보를 입력한 경우에는 카드사나 은행에 연락해 거래 차단과 모니터링 조치를 요청하는 것이 필요하다.