중국어권 조직, 300개 이상 피싱 도메인 운영...가짜 티켓·계정 탈취 결합, 최대 4억7,400만 달러 피해 우려
그룹아이비(Group-IB)가 2026 FIFA 월드컵을 겨냥한 역대 최대 규모의 사이버 사기 조직 ’고스트 스타디움(GHOST STADIUM)’을 적발했다고 밝혔다.
그룹아이비에 따르면 고스트 스타디움은 중국어권 기반의 금전적 동기를 가진 위협 행위자로, FIFA 공식 사이트와 로그인 환경을 정교하게 복제한 피싱 인프라를 구축해 전 세계 축구 팬들을 대상으로 공격을 진행하고 있다. 그룹아이비는 다크웹 마켓과 도메인 인프라, 지하 사기 공급망 등을 수개월간 추적한 결과 이번 작전을 확인했다는 설명이다.
고스트 스타디움(Dragon Ticket)은 2025년 11월 처음 포착됐으며, 중국 오픈소스 UI 라이브러리인 Layui 프레임워크 기반의 맞춤형 React 피싱 키트를 활용해 300개 이상의 도메인에서 중앙집중식 피싱 캠페인을 운영하고 있다. 공격자는 FIFA 공식 웹사이트는 물론 PingIdentity 기반 싱글사인온(SSO) 인증 절차까지 픽셀 단위로 복제한 것으로 확인됐다.
특히 FIFA 로그인, 회원가입, 결제 과정을 실제 사이트와 구분하기 어려울 정도로 재현했으며, 계정 정보를 탈취한 뒤 사용자를 실제 FIFA 사이트로 자동 이동시켜 침해 사실을 인지하지 못하도록 설계됐다.
또한 300개 이상의 도메인이 동일한 HTML 구조와 SSL 인증서를 공유하며 운영되고 있으며, 메타(Meta) 플랫폼의 유료 광고를 활용해 팬들에게 직접 접근하고 있다. 그룹아이비는 300여 개의 도메인 전체에서 3개의 메타 픽셀 ID가 공통으로 발견됐다고 전했다.
공격자는 공식 가격보다 저렴한 최저 60달러 수준의 가짜 티켓을 광고하며 카운트다운 타이머 등을 이용해 구매를 유도한다. 결제 방식도 신용카드, 제3자 결제 게이트웨이, P2P 결제 앱, 지역 결제 시스템, 암호화폐 등 5가지 이상을 지원해 전 세계 사용자를 대상으로 전환율을 극대화하고 있다.
그룹아이비는 티켓 사기뿐 아니라 계정 탈취와 개인정보 수집, 2차 금융 사기까지 고려할 경우 실제 피해 규모는 수억 달러를 넘어설 수 있다고 경고했다. 조사 과정에서 그룹아이비는 고스트 스타디움 외에도 월드컵을 노린 6가지 유형의 독립적인 사기 수법이 동시에 운영되고 있는 사실을 확인했다.
그룹아이비는 이번 캠페인 배후에 최소 4개의 위협 행위자가 활동 중인 것으로 분석했다.
TA-1은 고스트 스타디움으로, 300개 이상의 활성 도메인을 통해 인증 정보 탈취와 가짜 티켓 판매를 수행하고 있다. TA-2는 개막 시점에 맞춰 스트리밍·굿즈·베팅 사기를 전개하기 위해 143개의 의심 도메인을 선점한 도메인 스쿼터 조직이다. TA-3는 Vidar, Lumma 등 정보 탈취 악성코드를 활용해 FIFA 관련 계정 정보 약 13만 건을 수집한 것으로 파악됐다. TA-4는 다크웹에서 피싱 키트와 자동 티켓 구매 봇, 이메일 템플릿 등을 판매하는 PhaaS(Phishing-as-a-Service) 공급망 운영자다.
공격자들은 페이스북과 인스타그램 광고를 비롯해 텔레그램, 왓츠앱 채널, 검색 엔진 포이즈닝(Search Engine Poisoning), 리디렉터 도메인 등을 활용해 피해자를 유인하고 있다. 실제로 일부 사기 도메인은 검색 결과에서 FIFA 공식 사이트와 함께 노출되는 것으로 확인됐다.
그룹아이비는 특히 월드컵 개막 전부터 4,300개 이상의 가짜 FIFA 관련 사이트가 운영되고 있다는 점에 주목했다. 미국·캐나다·멕시코 3개국에서 개최되는 2026 FIFA 월드컵은 48개국이 참가하고 총 104경기가 열리는 역대 최대 규모 대회로, 티켓 수요 증가가 범죄자들에게 새로운 기회를 제공하고 있다.
그룹아이비는 브랜드 보호 조직, 금융기관, 결제 서비스 기업, 플랫폼 사업자, 법 집행 기관 어느 한 곳만으로는 이러한 범죄 생태계를 해결하기 어렵다며, 탐지·위협 인텔리전스·사기 방지·기관 간 정보 공유·수사를 통합하는 ‘사이버 사기 융합(CFF, Cyber Fraud Fusion)’ 기반 대응이 필요하다고 강조했다.
한편 그룹아이비는 FIFA 티켓은 반드시 공식 포털인 FIFA.com을 통해 구매하고, 암호화폐 결제를 요구하는 티켓 판매는 모두 사기로 간주해야 한다고 조언했다. 또한 페이스북·인스타그램·텔레그램·왓츠앱 등에서 노출되는 티켓 광고 클릭을 자제하고, FIFA 계정의 다단계 인증(MFA)을 활성화하며 로그인 전 도메인 주소를 반드시 확인할 것을 권고했다. 만약 의심 사이트에 정보를 입력했다면 즉시 비밀번호를 변경하고 금융기관에 신고해야 한다고 덧붙였다.
<저작권자(c)스마트앤컴퍼니. 무단전재-재배포금지>
