FIFA 2026 월드컵 사기

보안 연구원들과 FBI는 월드컵 2026이 6월 11일에 개막함에도 불구하고, FIFA를 주제로 한 대규모 사기 행위가 이미 월드컵 팬들을 대상으로 시작되고 있다고 경고했습니다.

이번 행사는 사이버 범죄자들에게 매력적인 기회를 제공합니다. 미국, 캐나다, 멕시코의 16개 도시에서 600만 명이 넘는 관중이 경기를 관람할 것으로 예상됩니다. FIFA는 판매 시작 후 15일 만에 1억 5천만 건 이상의 티켓 구매 요청이 접수되었다고 밝혔는데, 이는 수요가 공급의 약 30배에 달하는 수치입니다. 부족한 티켓, 기대에 찬 팬들, 그리고 빠르게 진행되는 거래는 대규모 사기 행위에 이상적인 환경을 조성했습니다.

최근 조사 결과 수천 개의 FIFA 테마 사기성 도메인, 승인되지 않은 스트리밍 애플리케이션 내부에 숨겨진 악성 소프트웨어, 그리고 합법적인 FIFA 계정을 탈취할 수 있는 정교한 피싱 캠페인이 발견되었습니다.

고스트 스타디움 피싱 네트워크의 부상

연구진은 2025년 8월 이후 등록된 FIFA 관련 사기 도메인이 4,300개 이상임을 확인했습니다. 이러한 활동의 중심에는 금전적 이득을 노리는 중국어 사용 집단인 '고스트 스타디움(GHOST STADIUM)'이 있으며, 이들은 300개 이상의 웹사이트에 걸쳐 피싱 네트워크를 운영하고 있습니다.

이 작전은 FIFA 공식 웹사이트를 매우 정교하게 복제한 웹사이트를 이용합니다. 가짜 페이지는 FIFA의 PingIdentity 기반 싱글 사인온 시스템을 완벽하게 모방하고, 실제 플랫폼에서 복사한 합법적인 클라이언트 ID까지 사용합니다. 신뢰도를 높이기 위해 이미지는 FIFA 서버에서 직접 불러오는데, 이를 통해 복제 콘텐츠를 탐지하는 일부 방법을 회피할 수 있습니다.

가장 심각한 문제는 사기성 비밀번호 재설정 기능입니다. 피해자가 자신도 모르게 계정 정보를 입력하면 공격자에게 계정 제어권을 넘겨주게 되고, 공격자는 정당한 소유자의 계정을 잠그고 관련 티켓을 되팔 수 있습니다.

트래픽은 주로 페이스북 광고를 통해 유입되며, 피싱 네트워크 전반에 걸쳐 동일한 추적 식별자가 사용됩니다. 추가적인 방문자는 텔레그램 채널, 왓츠앱 메시지, 그리고 조작된 검색 결과를 통해서도 유입됩니다.

사기 조직은 직접 카드 거래, 제3자 결제 게이트웨이, Chime 및 Nequi와 같은 송금 서비스, 멕시코 지역 결제 처리업체, 암호화폐 변환 시스템 등 다양한 채널을 통해 결제를 받습니다. 특히 암호화폐 결제는 도난 자금을 회수하기가 훨씬 더 어렵기 때문에 위험합니다.

한 가지 분명한 경고 신호가 눈에 띕니다. FIFA 공식 티켓 판매 플랫폼은 암호화폐를 받지 않습니다. 암호화폐 결제를 요구하는 판매자는 사기꾼으로 간주해야 합니다.

연구원들은 프리미엄 및 접대 티켓 사기만으로도 7,100만 달러에서 4억 7,400만 달러에 이르는 손실이 발생할 수 있다고 추산합니다. 적발된 사기 수법의 규모를 고려할 때, 총 피해액은 수십억 달러에 달할 가능성이 있지만, 이러한 수치는 확정된 손실액이 아닌 추정치에 불과합니다.

점점 커지는 사기 생태계

1월부터 5월까지 단 1만 3천 개 이상의 월드컵 관련 도메인이 등록되었으며, 그중 약 8.8%가 악성 또는 의심스러운 도메인으로 확인되었습니다.

FBI는 이미 FIFA 관련 사기성 도메인 목록을 발표했는데, 여기에는 철자가 틀린 유사 웹사이트와 가짜 FIFA 채용 포털이 포함됩니다. 수사관들은 대회가 다가옴에 따라 더 많은 악성 도메인이 나타날 것으로 예상하고 있습니다. 다른 보안팀들도 수천 개의 모방 웹사이트와 1,000개 이상의 가짜 소셜 미디어 프로필을 확인했습니다.

티켓 사기는 훨씬 더 큰 범죄 생태계의 일부분에 불과합니다. 사기꾼들은 위조 상품 판매점, 가짜 스포츠 베팅 플랫폼, 그리고 구독료를 청구할 뿐만 아니라 공격자가 피해자의 기기를 원격으로 제어할 수 있도록 하는 악성 소프트웨어를 배포하는 사기성 스트리밍 서비스도 운영하고 있습니다.

추가적인 사기 수법으로는 최대 200만 달러의 상금을 약속하는 가짜 FIFA 복권 당첨 안내가 있습니다. 연구원들은 또한 범죄자들이 기성 사기 도구와 자동 티켓 구매 봇을 구입할 수 있는 '피싱 서비스' 시장이 확대되고 있음을 확인했으며, 이로 인해 새로운 범죄자들이 사기 행각에 더욱 쉽게 뛰어들 수 있게 되었습니다.

이러한 활동들은 고도로 상호 연결되어 있습니다. 가짜 도메인은 티켓 관련 검색을 가로채고, 광고와 조작된 검색 결과는 트래픽을 생성하며, 도난당한 자격 증명 데이터베이스는 계정 탈취를 가능하게 하고, 악성 모바일 애플리케이션은 무료 스트리밍 검색을 금융 사기로 악용합니다.

주의력 그 이상을 훔치는 스트리밍 앱

월드컵 무료 중계를 찾는 팬들에게 모바일 기기는 가장 큰 위험 요소가 될 수 있습니다.

최근 연구원들은 UEFA 챔피언스 리그 결승전을 전후로 RojaDirecta와 같은 인기 스트리밍 서비스를 사칭하는 악성 비공식 스트리밍 애플리케이션이 급증하는 현상을 관찰했습니다. 이와 유사한 활동은 월드컵 기간 동안 더욱 심화될 것으로 예상됩니다.

이러한 애플리케이션 중 상당수는 Massiv 및 Perseus와 같은 악성코드 계열을 포함한 안드로이드 뱅킹 트로이목마와 연관되어 있습니다. 이러한 앱은 Google Play 스토어에서 제공되지 않으므로 사용자는 안드로이드의 내장 보안 경고를 우회하여 설치해야 합니다.

설치가 완료되면 이 악성 프로그램은 안드로이드 접근성 서비스를 악용하여 기기에 대한 광범위한 제어 권한을 획득합니다. 공격자는 정상적인 애플리케이션 위에 가짜 은행 로그인 페이지를 표시하고, 키 입력을 기록하고, SMS 메시지 및 인증 앱에서 전송되는 일회용 인증 코드를 가로채고, 원격으로 기기를 조작할 수 있습니다.

유출된 세르베루스 뱅킹 트로이목마 소스 코드를 이용해 개발된 페르세우스는 한 걸음 더 나아가 메모 작성 애플리케이션에서 저장된 비밀번호와 암호화폐 복구 문구를 검색합니다.

정당한 이유 없이 접근성 권한을 요청하는 스트리밍 애플리케이션은 심각한 보안 경고로 간주해야 합니다.

소셜 미디어는 사냥터가 된다

소셜 미디어 플랫폼은 월드컵 관련 사기 행위의 주요 유포 채널이 되었습니다.

연구진은 페이스북과 인스타그램에서 가짜 유니폼, 가짜 파니니 수집품, 피싱 웹사이트를 홍보하는 축구 관련 광고 캠페인 55개 이상을 발견했습니다. 광고 인프라 분석 결과, 이러한 운영 중 상당수가 중국 업체와 연관된 것으로 나타났습니다.

수사관들은 또한 1,700개 이상의 가짜 FIFA 소셜 미디어 계정을 목록화했는데, 그중 거의 90%가 페이스북과 인스타그램에서 운영되고 있습니다. 특히 주목할 만한 한 수법은 가짜 FIFA 채용 공고와 일정 초대장을 이용하여 지원자들을 가짜 구글 로그인 페이지로 유도하는 것이었습니다.

한편, 도난당한 FIFA 계정 정보는 이미 범죄 시장에서 유통되고 있습니다. 보안 연구원들은 수십만 개의 해킹된 사용자 계정과 4,600개 이상의 FIFA 관련 웹 주소가 Vidar, LummaC2, RedLine과 같은 계정 정보 탈취 악성코드 계열과 연관되어 있음을 밝혀냈습니다.

개최 도시에서의 공용 와이파이 사용 시 위험 요소

월드컵 개최 도시의 무선 네트워크는 또 다른 위험 요소를 야기합니다.

멕시코시티, 몬테레이, 과달라하라를 대상으로 실시한 조사에 따르면, 감지된 Wi-Fi 네트워크의 10~12%가 완전히 개방되어 보안되지 않은 상태인 것으로 나타났습니다. 또한 거의 절반에 가까운 네트워크에서 WPS(Wi-Fi Protected Setup)가 활성화되어 있어 추가적인 공격 기회를 제공하고 있었습니다.

이러한 취약점으로 인해 범죄자들이 '이블 트윈' 핫스팟, 즉 합법적인 Wi-Fi 접속 지점을 모방하여 사용자 트래픽을 몰래 가로채는 악성 네트워크를 배포하기가 더 쉬워집니다.

팬과 단체가 안전을 유지하는 방법

월드컵 관련 사기 피해가 발생하기 전에 이를 식별하는 데 도움이 되는 몇 가지 경고 신호가 있습니다.

• FIFA 공식 웹사이트를 통해서만 티켓을 구매하고, 광고나 검색 엔진 링크에 의존하지 말고 웹 주소를 직접 입력하세요. FIFA 계정에 다단계 인증을 활성화하고 암호화폐 결제를 요구하는 판매자는 절대 이용하지 마세요.
• 특히 접근성 권한을 요구하는 비공식 스트리밍 애플리케이션은 설치하지 마세요. 여행 도시에서 공용 Wi-Fi를 사용할 때는 가능한 한 모바일 데이터를 사용하고, 은행 계좌, 이메일 또는 기타 민감한 계정에 접속하지 마세요.

조직 또한 중요한 역할을 수행해야 합니다. 보안팀은 새로 등록된 FIFA 관련 도메인을 모니터링하고, 사기성 로그인 페이지를 탐지하며, Vidar, LummaC2 또는 RedLine 자격 증명 유출 사고에 노출된 직원이나 고객을 식별하고, 토너먼트 기간 동안 증가할 것으로 예상되는 티켓 분쟁 및 환불 요청에 대비하여 사기 대응팀을 준비시켜야 합니다.

아직 발동되지 않은 위협들

아마도 가장 우려스러운 점은 FIFA 관련 사기 도메인 약 3,800개가 여전히 비활성화 상태로 방치되어 언제든 사용될 수 있는 상태라는 것입니다.

피싱 키트, 자동화 봇, 도난당한 계정 정보가 이미 널리 유포되고 있는 가운데, 연구원들은 6월 11일부터 7월 19일까지가 가장 위험한 시기가 될 것으로 예상합니다. 이 기간 동안 항공권, 여행 예약, 스트리밍 서비스 검색량이 최고조에 달해 사이버 범죄자들이 활동 영역을 넓히기에 이상적인 환경이 조성될 것입니다.