안랩, '클로드' 사칭 피싱 사이트 주의보…악성코드 유포 확인 - IT타임스

검색 광고 악용 피싱 사이트 상단 노출 주의 클릭픽스 방식 악성코드 감염 피해 확산 우려 생성형 AI 서비스를 사칭한 피싱 사이트가 등장해 사용자 피해 우려가 커지고 있다. 검색 광고를 악용해 상단에 노출된 뒤 악성코드 설치를 유도하는 수법이 확인됐다. 안랩(대표 강석균)은 최근 생성형 AI 서비스 '클로드(Claude)'에 대한 글로벌 관심이 증가한 가운데 공식 홈페이지를 정교하게 모방해 악성코드 다운로드를 유도하는 피싱 사이트를 발견했다고 22일 밝혔다. 해당 사이트에는 'Bring Claude to your desktop(클로드를 데스크톱에서 이용해 보세요)' 문구와 함께 윈도우, 맥OS 등 운영체제별 다운로드 버튼이 배치됐다. 사용자가 버튼을 클릭하면 실제 설치 파일 대신 설치 방법 안내 팝업이 노출된다. 해당 안내는 특정 명령어를 복사해 시스템에 붙여 넣으면 다운로드가 시작된다고 설명한다. 사용자가 이를 실행할 경우 악성코드가 설치되며 PC 내 파일, 브라우저 저장 정보, 암호화폐 지갑 정보 등이 탈취돼 공격자 서버로 전송된다. 안내창이나 오류 팝업을 이용해 사용자가 복사·붙여넣기로 악성 명령을 직접 실행하도록 유도하는 '클릭픽스(ClickFix)' 기법으로 분류된다. 해당 기법은 다양한 악성코드 유포 공격에 활용되고 있다. 이번 피싱 사이트는 발견 당시 구글 검색에서 '클로드 앱(claude app)', '클로드 데스크톱(claude desktop)' 키워드 기준 최상단에 노출된 상태였다. 공격자는 검색 광고 서비스를 활용해 노출 순위를 조작한 것으로 추정된다. 검색 결과 상단 노출을 신뢰하는 이용자 특성을 악용한 사례로 분석된다. 피해 예방을 위해서는 △프로그램은 공식 경로에서만 다운로드 △검색 결과 상단 노출 여부와 관계없이 도메인 주소 확인 △PC, OS, SW, 인터넷 브라우저 등에 대한 최신 보안 패치 적용 △백신(V3) 실시간 감시 기능 활성화 등 기본 보안 수칙을 지켜야 한다. 김동현 안랩 매니저는 "유명 서비스를 사칭한 피싱 사이트를 통한 악성코드 유포가 지속 발생하고 있다"고 밝혔다. 이어 "검색 결과 상단 노출을 신뢰하는 경향을 악용해 순위를 조작하는 사례까지 확인되고 있어 주의가 필요하다"고 말했다. 안랩 V3 제품군은 해당 피싱 사이트 탐지∙접근 차단 기능을 지원하고 있다. 또한 안랩은 이번 사례를 포함한 전문적인 최신 위협 정보를 자사의 차세대 위협 인텔리전스 플랫폼 '안랩 TIP'에서 제공 중이다. IT타임스 Cho Hyun-jong ([email protected])