공격자들이 사용자의 ‘클릭’과 ‘명령어 실행’이라는 정상적인 행위를 악용해 악성코드를 유포하는 사례가 잇따라 확인되고 있다. 대표적인 방식이 ClickFix다. ClickFix는 겉으로는 로봇 확인, 캡차(CAPTCHA) 인증, 프로그램 설치 안내처럼 보이지만, 실제로는 사용자가 악성 명령어를 직접 실행하도록 유도하는 사회공학적 공격 기법이다.

특히 최근에는 정상 웹사이트 침해, 검색광고 기반 피싱, 프로그램 설치 가이드 사칭 등 다양한 유입 경로와 결합되며 인포스틸러 유포에 활용되고 있다. 이번 글에서는 ClickFix 공격이 어떻게 이뤄지는지, 실제 사례를 통해 어떤 점을 주의해야 하는지 살펴본다.

(출처: 언스플래쉬 - https://unsplash.com/ko)

ClickFix란 무엇인가

ClickFix는 사용자가 문제 해결이나 인증 절차를 수행하는 것처럼 보이게 만든 뒤, 실제로는 악성 명령어 실행을 유도하는 사회공학적 공격 기법이다. 공격자는 주로 로봇 확인 캡차, 브라우저 오류 안내, 프로그램 설치 가이드, 보안 확인 절차처럼 보이는 화면을 띄워 사용자의 행동을 유도한다.

일반적인 흐름은 다음과 같다. 사용자가 ‘로봇이 아닙니다’ 또는 ‘확인’ 버튼을 클릭하면, 웹페이지의 JavaScript가 클립보드에 악성 명령어를 복사한다. 이후 공격자는 “복사된 명령어를 실행하라”는 식의 안내를 제공하고, 사용자가 이를 그대로 실행하면 악성 스크립트가 동작한다.

이 방식이 위험한 이유는 공격자가 보안 취약점을 직접 악용하지 않아도 된다는 점이다. 사용자가 직접 명령어를 실행하기 때문에, 겉으로는 정상적인 사용자 행위처럼 보일 수 있다. 특히 파워셸(PowerShell), 터미널, curl, bash 등 정상 관리 도구를 활용하면 보안 솔루션의 탐지를 우회하거나 지연시킬 가능성도 높아진다.

공격자들이 ClickFix를 활용하는 방법

최근 ClickFix 공격은 단순히 캡차 인증처럼 보이는 화면을 띄우는 데 그치지 않고, 사용자가 신뢰하기 쉬운 다양한 접점과 결합되고 있다. 정상 웹사이트를 침해해 악성 페이지로 유도하거나, 검색광고를 통해 공식 문서처럼 보이는 피싱 페이지를 노출시키는 방식이 대표적이다. 프로그램 설치 안내나 보안 확인 절차처럼 익숙한 화면을 활용해 사용자의 의심을 낮추는 사례도 확인되고 있다.

이 공격의 핵심은 사용자의 직접적인 행동을 유도한다는 것이다. 공격자는 버튼 클릭, 명령어 복사, 터미널 또는 명령 실행 창에서의 실행 등 정상적인 사용자 행위처럼 보이는 과정을 악용한다. 특히 개발도구나 유틸리티 설치 과정에서는 사용자가 설치 명령어를 복사해 실행하는 방식에 익숙하기 때문에, 공격자가 이를 악성코드 실행 흐름으로 연결할 수 있다.

결국 ClickFix는 기술적 취약점을 직접 악용하기보다, 사용자의 신뢰와 습관을 공격 체인의 일부로 활용하는 방식이다. 사용자는 화면이 정상적인 캡차나 설치 안내처럼 보이더라도, 명령어 실행을 요구하거나 출처가 불분명한 파일·스크립트를 실행하도록 유도한다면 악성 행위로 이어질 수 있다는 점을 주의해야 한다.

실제 유포 사례 1) 국내 사이트를 통한 LummaC2 유포

국내 큐레이션 매거진 사이트에서 ClickFix 기법을 통해 LummaC2 인포스틸러가 유포된 사례가 확인됐다. LuumaC2는 감염된 시스템에서 계정 정보, 브라우저 관련 정보, 가상지갑 관련 정보 등 민감 데이터를 탈취할 수 있는 정보 탈취형 악성코드다.

해당 사례에서 공격자는 정상 웹페이지를 변조해 사용자를 악성 페이지로 유도하고, 캡차 인증처럼 보이는 화면을 통해 사용자의 클릭을 유도했다. 이후 사용자가 안내에 따라 명령어를 실행하면 추가 악성코드가 다운로드·실행되는 방식으로 감염이 진행됐다.

이 과정에서 사용자는 일반적인 인증 절차나 오류 해결 과정을 수행하는 것으로 인식할 수 있다. 그러나 실제로는 공격자가 준비한 명령어가 실행되며, 최종적으로 인포스틸러 감염과 정보 탈취로 이어질 수 있다.

이 사례는 ClickFix가 해외 피싱 페이지나 가짜 다운로드 사이트 외에도 국내 사용자가 평상시 접속하는 정상 웹사이트 침해를 통해서도 유포될 수 있음을 보여준다. 사용자는 익숙한 사이트에 접속했더라도 갑작스러운 캡차 화면이나 명령어 실행 안내 및 보안 확인을 가장한 절차가 나타나면 의심해야 한다.

실제 유포 사례 2) 검색광고를 악용한 AMOS 유포

AMOS 인포스틸러 유포 사례는 또 다른 방식의 ClickFix 활용을 보여준다. 공격자는 구글 검색광고를 통해 AI 개발도구 설치 문서로 위장한 피싱 페이지를 노출했다. 사용자들은 해당 피싱 페이지에서 제공되는 설치 명령어를 직접 복사하고 실행했지만, 실제로는 외부에서 악성 스크립트를 내려받아 실행하도록 설계된 명령어였다.

이 사례의 핵심은 공격자가 단순히 파일 다운로드를 유도한 것이 아니라, 사용자가 익숙하게 수행하는 “설치 명령어 복사·실행” 과정을 악용했다는 점이다. 특히 개발도구나 CLI 기반 유틸리티 설치 과정에서는 터미널 명령어를 사용하는 경우가 많아, 사용자가 이를 정상 절차로 오인할 가능성이 있다.

AMOS 유포 사례는 검색과 설치라는 일상적인 사용자 행위도 공격의 시작점이 될 수 있음을 보여준다. 검색 결과 상단에 노출되는 광고 링크라고 해서 반드시 공식 사이트라고 단정해서는 안 되며, 프로그램 설치 전에는 공식 도메인 여부와 명령어 내용을 반드시 확인해야 한다.

사용자 입장에서 주의해야 할 포인트

ClickFix 공격은 기술적으로 복잡한 취약점보다 사용자의 심리와 습관을 노린다. 따라서 사용자는 다음과 같은 상황을 주의해야 한다.

첫째, 웹사이트에서 갑자기 캡차나 보안 확인 화면이 뜨고, 이후 특정 키 조합을 누르거나 명령어를 실행하라고 안내한다면 정상적인 인증 절차가 아닐 가능성이 높다. 일반적인 캡차 인증은 사용자가 명령 프롬프트나 파워셸(PowerShell), 터미널에 명령어를 붙여넣도록 요구하지 않는다.

둘째, 검색 결과 상단의 광고 링크를 공식 사이트로 단정해서는 안 된다. 검색 결과 상단의 Sponsored 링크가 공식 페이지가 아닐 수 있으며, 개발도구 설치 시 반드시 공식 도메인 여부를 확인해야 한다.

셋째, 설치 가이드에 포함된 명령어라도 그대로 복사해 실행해서는 안 된다. 특히 복사·붙여넣기 형태로 제공되는 설치 명령은 실행 전 내용을 확인하고, 출처가 불분명하거나 이해하기 어려운 명령어라면 실행하지 않는 것이 안전하다.

넷째, 정상적으로 보이는 웹사이트에서도 이상 행위가 나타날 수 있다는 점을 염두에 둬야 한다. 정상 사이트가 침해될 경우 악성 스크립트 유포 경로로 악용될 수 있기 때문이다.

대응 방안 및 보안 수칙

개인 사용자는 의심스러운 팝업이나 캡차 화면이 나타나면 버튼을 클릭하지 말고 즉시 브라우저를 종료하거나 이전 페이지로 이동해야 한다. 웹사이트가 PowerShell, 명령 프롬프트, 터미널 실행을 요구한다면 해당 안내를 따르지 말고 접속을 중단해야 한다.

기업 보안 담당자는 사용자 교육과 함께 기술적 탐지·차단 체계를 강화해야 한다. 검색광고 기반 피싱에 대비해 DNS 필터링, 프록시 기반 URL 필터링, 피싱 URL 차단 정책을 적용하고, macOS 사용자를 대상으로도 별도의 보안 교육을 진행할 필요가 있다.

엔드포인트 관점에서는 외부 URL에서 스크립트를 직접 다운로드해 실행하는 행위를 모니터링해야 한다.

감염이 의심되는 경우에는 비밀번호를 변경하는 것만으로 충분하지 않다. 인포스틸러는 계정 정보뿐만 아니라 브라우저 저장 정보, 세션 쿠키, 계정 정보, 업무 관련 데이터, 가상자산 관련 정보 등 다양한 민감 정보를 탈취할 수 있기 때문에, 정보 유출 가능성과 추가 피해 여부를 함께 점검해야 한다.

출처 : AhnLab