“‘클로드’ 공식 누리집 아닙니다”…악성코드 감염 ‘피싱 사이트’ 주의보
구글 검색 시 최상단 노출돼 사용자 클릭 유도
“공식 누리집 이용…도메인주소 반드시 확인”
생성형 인공지능(AI) 서비스 ‘클로드(Claude)’ 다운로드 페이지로 위장한 피싱 사례가 확인됐다. 해당 악성 다운로드 페이지는 구글 검색 결과 최상단에 노출돼 이용자를 유인한 뒤 정보 탈취형 악성코드를 설치하도록 만드는 것으로 나타났다.
안랩은 최근 클로드 공식 누리집을 정교하게 흉내 낸 피싱 누리집을 발견했다고 22일 밝혔다. 최근 전 세계적으로 클로드에 대한 관심이 높아진 점을 노린 것으로, 사용자가 공식 누리집으로 착각해 접속하도록 만든 것이 특징이다.
해당 누리집에는 ‘클로드를 데스크톱에서 이용해보라’는 문구와 함께 윈도우와 맥OS 등 운영체제별 다운로드 버튼이 배치돼 있다. 하지만 이용자가 버튼을 눌러도 정상 설치 파일이 내려받아지는 대신 설치 방법을 안내하는 알림창이 뜬다.
문제는 이 안내문이 이용자에게 특정 명령어를 복사해 PC 시스템에 직접 붙여 넣으라고 유도한다는 점이다. 사용자가 이 과정을 따라 하면 실제로는 악성코드가 설치된다. 이후 PC 안의 파일과 브라우저 저장 정보, 암호화폐 지갑 정보 등이 공격자 서버로 전송될 수 있다고 안랩은 설명했다.
이는 전형적인 ‘클릭픽스(ClickFix)’ 수법이다. 클릭픽스 기법은 오류 안내나 설치 팝업을 가장해 사용자가 직접 악성 명령어를 실행하게 만드는 수법으로, 최근 다양한 악성코드 유포 공격에 활발히 쓰인다.
특히 이번 피싱 링크는 발견 당시 구글에서 ‘클로드 앱’이나 ‘클로드 데스크톱’ 같은 키워드를 검색하면 결과 최상단에 노출된 것으로 확인됐다. 안랩은 공격자가 구글 검색 광고 서비스를 이용해 노출 순위를 끌어올리고, 상단에 뜬 누리집을 더 신뢰하는 이용자 심리를 노린 것으로 보고 있다.
안랩은 피해를 막기 위해 프로그램은 반드시 공식 경로에서만 내려받고, 검색 결과 상단에 있다고 해서 곧바로 믿지 말고 도메인 주소를 꼭 확인해야 한다고 당부했다.
이와 함께 PC 운영체제와 소프트웨어, 인터넷 브라우저에 최신 보안 패치를 적용하고 백신의 실시간 감시 기능도 켜 두는 것이 필요하다고 덧붙였다.
이번 사례를 분석한 김동현 안랩 매니저는 “유명 서비스를 정교하게 사칭한 피싱 사이트를 통해 악성코드를 유포하는 사례가 꾸준히 나오고 있다”며 “특히 검색 결과 상단 노출을 신뢰하는 경향을 악용하는 수법까지 쓰이고 있어 각별한 주의가 필요하다”고 말했다.
Copyright © 농민신문. 무단전재 및 재배포 금지.