‘멜웨어리스’, ‘클릭픽스’ 등 올들어 해킹 수법 크게 진화

[애플경제 이윤순 기자] 2025년 들어 세계 각지에서 해커들의 수법이 더욱 첨단화하고 있는 것으로 포착되고 있다. 북한, 이란, 러시아 등 정부가 해커들을 원격 혹은 직접 관리하는 ‘국가 지원 해커’들의 폐해가 날로 심해지고 있다. 특히 최근엔 이른바 ‘클릭픽스’라고 불리는 소셜 엔지니어링 기법으로 대거 몰려들고 있다.

그런가 하면 해커들은 맬웨어를 사용하지 않는 또 다른 ‘잠복형’ 해킹도 기승을 떨고 있다.최근에는 멜웨어를 주입, 살포하는 대신, 오로지 피해자의 기존 시스템만을 도구를 악용하여 기기를 공격하는 ‘맬웨어 없는’ 공격이 증가하고 있다. 이는 피해자가 오래도록 ‘눈치’조차 채지못한채 데이터를 탈취당하는 셈이어서 더욱 피해가 크다. 이런 공격은 비교적 쉽게 수행할 수 있기 때문에 해커들로서도 특히 매력적이다.

‘클릭픽스’, 대화상자 악용한 소셜 엔지니어링 기법

우선 국가 지원 해커들 간에는 인기를 끌고 있는 ‘클릭픽스’는 악성 명령을 복사, 붙여넣기, 그리고 대상 컴퓨터에 실행하라는 지시가 담긴 대화 상자를 사용하는 소셜 엔지니어링 기법이다. 이미 지난해 3월 초, 초기 접근 브로커 TA571과 ClearFake 클러스터에서 처음 발견된 후 광범위하게 확산되고 있다.

글로벌 보안업체 ‘프루프포인트’에 따르면, 특히 작년 말부터 2025년 초까지 3개월 동안 북한의 TA457, 이란의 TA450, 러시아의 UNK_RemoteRogue와 TA422 등이 모두 이런 악성코드를 악용한 ‘클릭픽스’ 수법을 구사하고 있다.

이 수법은 마치 문제가 생겨 경고하는 척 가짜 ‘오류’ 메시지를 띄우거나, 공급업체 운영 시스템에서 발송한 것처럼 위장한 ‘경고’나 ‘안재 공지’를 보내는 방식을 즐겨 동원한다. 기존 해킹 수법처럼 감염 경로를 설치, 네트워크 실행 단계를 조작하는 방식을 뛰어넘는 것이다.

아직은 국가 지원 범죄 조직의 일부에 그치고 있지만, 빠르게 확산되며 해커들에게 널리 보급될 것으로 우려되고 있다.

프루프포인트는 특히 “북한의 TA427이 올해 초 클릭픽스를 사용한 사례가 처음 발견되었다”고 밝혔다. 이 그룹은 일본 외교관으로 위장하고 주미 일본 대사 야마다 시게오와의 대담을 공지하며, 일부 싱크탱크 관계자들을 표적으로 삼았다.

이란의 TA450의 경우 공격자가 제어하는 ​​이메일 주소인 ‘ support@microsoftonlines[.]com’을 이용, 중동 지역 39개 이상의 공공기관을 표적으로 삼아 영어 피싱 공격을 실행했다. 이들은 ‘클릭픽스’ 기법을 사용, 대상 기관에게 관리자 권한으로 파워셀(PowerShell)을 실행한 다음, 이메일 본문에 포함된 명령을 복사하여 실행하도록 유도했다. 이를 통해 원격 모니터링 소프트웨어가 설치, 간첩 활동을 수행하면서 상대의 컴퓨터에서 데이터를 유출할 수 있었다.

러시아의 ‘UNK_RemoteRogue’도 한 차례 클릭픽스를 사용한 사례가 포착되고 있다. 다만 아직은 이들 범죄 그룹 중 반복적으로 ‘클릭픽스’를 사용한 사례는 없었다.

특히 주목할 만한 현상 중 하나는 중국 국가 지원 그룹이 아직 이러한 추세에 편승하지 않았다는 점이다. 그러나 “앞으로 몇 달 안에 중국도 바뀔 수 있다”는 전망이 유력하다.

프룹포인트는 “이 기법이 전 세계적으로 확산되는 추세를 고려할 때, 아직은 중국 국가 지원 해커들이 클릭픽스를 사용한 경우는 드물다”면서도 “그러나 이는 아직은 눈에 띄지 않았을 뿐, 짧은 기간 동안 여러 해킹 사례에 클릭픽스가 등장한 점을 고려하면, 중국과 연계된 조직이 역시 이 수법을 시도했을 가능성이 높다”고 추측했다.

은밀한 ‘멜웨어없는 자급자족형 해킹’ 기승

시스템을 손상시키도록 설계된 악성 소프트웨어에 의존하는 기존 공격과 달리, 악성코드 없는 공격은 대상자의 네트워크에 있는 도구와 프로세스를 악용한다는 점이 다르다. 즉 “외부 코드를 삽입하는 대신, 소프트웨어의 취약점, 잘못된 구성 또는 손상된 자격 증명을 악용하는 수법”이다.

악성코드 없는 공격은 피해자가 오랜 기간 해커가 숨어들었는지조차 알 수 없기 때문에 더욱 피해가 크다. 해커는 피해자가 미처 낌새도 채지 못하는 동안, 데이터를 마음껏 탈취할 수 있다. 이들은 그 동안 파일리스 수법이나, 파워셀 악용, RDP 익스플로잇, 소셜 엔지니어링을 활용, “전혀 피해가자 눈치채지 못한 채 시스템에 침투, 암약할 수 있다”는 얘기다.

아예 악성코드가 없다보니, 더욱 “은밀하고 효과적이며 원인을 규명하기도 어렵다”는게 전문가들의 경고다.

실제로 글로벌 보안업체 크라우드스트라이크에 따르면, 2025년 들어 더욱 이런 수법의 해킹이 극성을 떨고 있다. 크라우드스트라이크가 탐지한 사례의 79%가 이런 수법인데, 이는 2019년 40%에서 크게 늘어난 수치다.

자급자족형(LotL) 공격이라고도 하는 맬웨어 없는 공격은 새로운 개념은 아니다. AI와 클라우드와 같은 기술이 공격자에게 공격 기회를 더 많이 제공함에 따라 날로 증가하고 있다.

클라우드 서비스, 원격 모니터링 및 관리 도구, 그리고 유효한 계정은 모두 악성코드 없는 공격을 수행하는 데 사용된다. 보안업체 마커스터디의 한 관계자는 “클라우드의 대중화로 인해 이런 수법이 날로 확산되고 있다”면서 “유효한 계정을 통해 초기 접근 권한을 얻은 후, 클라우드 환경 관리 도구를 악용해 측면 공격을 시도하는 경우가 많다.”고 했다.

또 해커들은 악성 로더와 파일을 배포하기 위해 ‘무기화된 광고’(weaponized ads)를 사용하기도 한다. 이를 통해 취약하거나 도난당한 자격 증명을 활용, 내부 시스템에 직접 접근함으로써 악성코드를 배포하지 않고도 합법적인 사용자로 로그인할 수 있다는 얘기다.

특히 ‘파워셀’이나 윈도우 관리 도구(Windows Management Instrumentation) 등은 측면 공격이나, 자격 증명 덤핑, 정찰에 자주 악용된다. 또한, 상용 제품이나 오픈소스 소프트웨어 프로젝트에 대한 공급망 공격을 통해 공격자는 소프트웨어 업데이트를 손상시키거나 합법적인 애플리케이션에 악성코드를 주입할 수도 있다. 이에 “피해자는 자신도 모르게 백도어를 설치하게 된다”는 경고다.

첨단 사이버 범죄자와 특정국 정부가 배후에 있는 조직들이 이같은 맬웨어 없는 공격을 활용하는 경우가 많다. 예를 들어 APT29(일명 미드나잇 블리자드)와 같은 국가 지원 조직은 2020년 솔라윈즈 공격에서 클라우드 서비스를 사용, 은밀하게 데이터를 유출했다. 또한 APT 38(일명 라자루스 그룹)은 도용된 자격 증명과 파워셀 스크립트를 활용, 암호화폐 회사에 침투하기도 했다.