"PC서 클로드 이용하세요" 클릭하자 코인 지갑 털렸다…피싱 수법 뭐길래

클로드 다운로드 페이지'로 위장한 피싱 사이트. 안랩 제

[파이낸셜뉴스] 안랩은 생성형 인공지능(AI) 서비스 '클로드'를 사칭한 피싱 사이트로 정보 탈취형 악성코드를 유포하는 사례를 확인했다고 22일 밝혔다.

안랩은 최근 전 세계적으로 클로드에 대한 관심이 높아진 가운데, 클로드 공식 홈페이지를 정교하게 모방해 사용자가 악성코드를 다운로드하도록 유도하는 피싱 사이트를 발견했다.

해당 사이트에는 '클로드를 데스크톱에서 이용해 보세요(Bring Claude to your Desktop)'라는 문구와 함께 윈도우, 맥OS 등 운영체제(OS) 별 다운로드 버튼이 배치돼 있다. 사용자가 자신의 OS에 맞는 다운로드 버튼을 클릭하면, 실제 설치 파일이 내려 받아지는 대신 설치 방법을 안내하는 팝업창이 나타난다. 이 안내문은 특정 명령어를 복사해 PC 내 시스템에 붙여 넣으면 다운로드가 시작된다고 설명한다.

그러나 사용자가 이 절차를 수행할 경우 악성코드가 설치되며 PC 내 파일, 브라우저 저장 정보, 암호화폐 지갑 정보 등을 탈취해 공격자의 서버로 전송한다.

클로드 설치 방법 안내를 가장해 악성 명령 실행을 유도하는 화면. 안랩 제

이처럼 안내·오류 팝업 등을 가장해 사용자가 복사 및 붙여넣기 방식으로 악성 명령을 직접 실행하게 만드는 방식을 '클릭픽스(ClickFix)' 기법이라 하며, 다양한 악성코드 유포 공격에 활발히 활용되고 있다.

이번 피싱 사이트는 발견 당시 구글에 '클로드 앱(claude app)', '클로드 데스크톱(claude desktop)' 등의 키워드 검색 시 결과 최상단에 노출돼 있었다. 공격자는 클로드를 PC에 설치하려는 사용자를 유인하기 위해 구글 검색 광고 서비스를 사용해 노출 순위를 조작한 것으로 추정된다. 이처럼 검색 결과 상단 노출을 신뢰하는 사용자의 인식을 악용한 공격이 지속적으로 확인되고 있어 주의해야 한다.

피해 예방을 위해서는 △프로그램은 공식 경로에서만 다운로드 △검색 결과 상단 노출 여부와 관계없이 도메인 주소 확인 △PC, OS, 소프트웨어(SW), 인터넷 브라우저 등에 대한 최신 보안 패치 적용 △백신(V3) 실시간 감시 기능 활성화 등 기본 보안 수칙을 지켜야 한다.

검색 결과 최상단에 노출된 클로드 사칭 피싱 사이트. 안랩 제공

이번 사례를 분석한 안랩 김동현 매니저는 "최신 유행하거나 널리 사용되는 유명 서비스를 정교하게 사칭한 피싱 사이트로 악성코드를 유포하는 사례가 꾸준히 발생하고 있다"며 "특히 많은 사용자가 검색 결과 상단에 노출된 사이트를 신뢰하는 경향이 있어 노출 순위를 조작하는 수법까지 활용되는 만큼 각별한 주의가 필요하다"고 말했다.

한편, 안랩 V3 제품군은 해당 피싱 사이트에 대한 탐지 및 접근 차단 기능을 지원하고 있다.

안랩은 이번 사례를 포함한 전문적인 최신 위협 정보를 자사의 차세대 위협 인텔리전스 플랫폼 '안랩 TIP'에서 제공 중이다.

mkchang@fnnews.com 장민권 기자