생성형 AI 신뢰도 역이용한 ‘데이터 탈취’ 기법 기승… 안랩, 클로드 사칭 피싱 주의보 - 한국데이터경제신문

생성형 AI 서비스가 디지털 경제의 핵심 인터페이스로 급부상함에 따라, 사용자들의 높은 기술적 신뢰도를 역이용한 ‘데이터 탈취’ 수법이 한층 정교해지고 있다. 특히 글로벌 AI 시장에서 점유율을 높이고 있는 ‘클로드(Claude)’를 사칭해 시스템 제어권을 확보하려는 지능형 공격이 발견되어 기업 및 개인의 데이터 보안 관리에 비상이 걸렸다. 사이버 보안 전문 기업 안랩은 최근 클로드의 공식 웹사이트를 정교하게 모방한 피싱 사이트를 통해 정보 탈취형 악성코드가 유포되는 사례를 확인하고, 이에 대한 심층적인 분석 결과를 공유했다. 이번 공격은 단순한 다운로드 유도를 넘어 사용자가 직접 시스템에 악성 명령어를 입력하게 만드는 ‘심리적 허점’을 공략한 것으로 파악된다. ■ 사용자가 직접 악성 명령 실행하는 ‘클릭픽스’ 기법 주목 이번 공격의 핵심은 ‘클릭픽스(ClickFix)’로 불리는 사용자 주도형 감염 방식이다. 공격자는 피싱 사이트에 접속한 사용자가 운영체제(OS)별 다운로드 버튼을 누르면 설치 안내를 가장한 팝업창을 띄운다. 이 팝업창은 특정 명령어를 복사해 PC 터미널 시스템에 붙여넣도록 안내하며, 사용자가 이를 수행하는 순간 악성코드가 시스템에 즉각 이식되는 구조를 취하고 있다. 해당 악성코드는 PC 내 로컬 파일은 물론 인터넷 브라우저에 저장된 계정 정보, 암호화폐 지갑의 프라이빗 키 등 민감한 데이터 자산을 탈취해 공격자 서버로 실시간 전송하는 것으로 분석된다. 이는 기존의 실행 파일 배포 방식보다 탐지 회피율이 높고 사용자의 능동적인 개입을 끌어낸다는 점에서 위협적인 행보로 평가된다. ■ SEO 조작 통한 검색 결과 최상단 점유… ‘신뢰의 함정’ 구축 공격자는 사용자를 피싱 사이트로 유인하기 위해 구글의 검색 광고 기능을 적극적으로 활용한 것으로 확인됐다. ‘클로드 앱(claude app)’이나 ‘클로드 데스크톱’ 등 특정 키워드 검색 시 결과 최상단에 피싱 사이트가 노출되도록 조작하여, 검색 엔진의 공신력을 신뢰하는 사용자들의 인식을 무력화시켰다. 전문가들은 많은 사용자가 검색 결과 상단에 위치한 링크를 안전한 공식 경로로 오인하는 경향이 있다는 점을 공격자가 치밀하게 파악한 결과로 분석한다. 이는 디지털 환경에서의 정보 습득 프로세스 자체를 공격 벡터로 삼은 ‘검색 엔진 최적화(SEO) 공격’의 전형적인 사례로 관측된다. ■ 인프라 패치 및 공식 경로 이용 등 보안 수칙 준수 시급 데이터 탈취 리스크를 최소화하기 위해서는 프로그램 설치 시 반드시 공식 도메인 주소를 대조하고, 검색 광고로 표시된 링크보다는 공식 포털의 인증된 채널을 이용하는 주의가 요구된다. 안랩은 V3 등 백신 솔루션의 실시간 감시 기능을 활성화하고 최신 보안 패치를 적용하는 등 기초적인 보안 위생을 강화할 필요가 있다고 조언했다. 이번 사안은 생성형 AI 기술의 대중화가 사이버 공격의 지평을 넓히는 양면성을 보여준다. 향후 AI 서비스 경쟁이 치열해질수록 유사한 방식의 ‘브랜드 사칭 데이터 공격’이 지속될 것으로 보여, 산업 전반의 데이터 보호 체계 강화가 중요한 이정표가 될 전망이다.