곤경 처한 사용자 절박함 악용 유인하는 ‘사이버 함정’
문제 ‘해결’이나 ‘오류’ 메시지로 위장, 사용자들 클릭 유도
사용자 스스로 명령어를 윈도우 실행 대화 상자 등에 ‘복붙’
명령어 통해 원격 도구로 맬웨어 다운로드, 시스템 장악
[애플경제 엄정원 기자] 신종 사이버공격 수법인 ‘클릭픽스’(ClickFix)가 확산되고 있다. 이는 명백한 사용자들의 절박한 상황을 역이용하는 야비한 수법이다. 기술적으로 오류나 문제가 생겼을 때 이를 어떻게든 신속하게 해결하려는 사용자의 급한 마음을 악용하는 소셜 엔지니어링 방식이다.
사이버 범죄자들은 이런 경우 거짓으로 ‘해결’이나 ‘오류’ 메시지를 전송, 사용자들이 다급한 나머지 이를 클릭하도록 유도한다. 사용자들은 이때 흔히 긴 명령어를 윈도우 실행 대화 상자처럼 신뢰할 수 있는 도구에 복사, 붙여넣게 된다. 이런 명령어가 실행되면 해커들은 원격 액세스 도구로 맬웨어를 다운로드, 시스템을 장악하게 된다.
보안업체 ESET 데이터에 따르면 ‘클릭픽스’ 소셜 엔지니어링 공격은 지난 6개월 동안 무려 5배 이상 급증, 피싱에 이어 세계에서 두 번째로 흔한 공격 수법이 되었다.
‘가짜 브라우저 충돌 경고 등 긴박한 메시지로 유인
‘클릭픽스’ 공격은 흔히 시스템 오류나 기술적 문제가 있어 보이는 웹페이지나 팝업과 같은 경로로 시작된다. 가짜 브라우저 충돌 경고, 문서 로드 실패 메시지, 또는 거짓 캡차(CAPTCHA(사람과 봇의 식별)) 유효성 검사 알림 등이 포함된다. 이들 메시지는 그야말로 사용자들에게 긴박감을 조성하고 “즉시 조치를 취해야 한다”고 독촉하는 효과가 있다.
결국 가짜 ‘수정’ 버튼이나 유사한 프롬프트를 클릭하면, 숨겨진 스크립트가 사용자의 클립보드에 악성 명령을 자동으로 저장하게 되는 원리다. 일반적으로 자바스크립트를 사용, 사용자가 눈치채지 못하게 클립보드 내용을 바꾸기도 한다. 삽입된 명령은 복잡하고 사실적으로 보이도록 형식이 지정된다. 이때 파워쉘, 컬, 배쉬(bash)와 같은 신뢰할 수 있는 시스템 도구를 참조하는 경우가 많다.
‘클릭픽스’의 또 다른 수법은 사용자에게 윈도우 실행 대화 상자(Win + R), macOS 터미널, 또는 스폿라이트 검색과 같은 신뢰할 수 있는 시스템 인터페이스를 열고 명령을 붙여넣도록 안내하는 것이다. 사용자들은 이 작업을 수동으로 시작하므로, 대부분의 보안 시스템은 이를 안전한 것으로 간주하고 악의적인 의도가 있다고 의심하지 않는게 보통이다. ‘클릭픽스’ 해커들은 이런 ‘허’를 노리고 있다.
사용자들이 실수로 붙여넣은 명령이 실행되면 마침내 피해가 발생한다. 그런 스크립트는 다양한 유형의 맬웨어를 검색하고 활성화할 수 있다. 여기에는 자격 증명, 브라우저 정보 및 암호화폐 지갑 데이터를 수집하는 ‘인포스틸러’, 공격자가 시스템을 장악, 제어할 수 있도록 하는 원격 액세스 도구 등이 포함된다.
특히 메모리에서만 작동하는 ‘파일리스 맬웨어’는 보통의 표준 보안 도구로는 탐지하기 어렵다. 또한 ‘루트킷’을 사용, 장기적인 접근을 보장하고, 악의적인 동작을 은폐하는 맬웨어도 있다. 이런 페이로드는 민감한 정보를 탈취하고, 공격자에게 시스템 제어권을 제공하거나, 장기적인 접근을 구축할 수 있게 한다.
사용자 스스로 속아서 ‘클릭’, “탐지 어려워”
이같은 ‘클릭픽스’는 보통의 사이버 공격과는 그 수법이 크게 다른 셈이다. 사용자들이 믿고 속아넘어가기 좋은 인터페이스를 활용, 자신들이 스스로 악성명령으로 감염시키기 때문에 탐지가 어렵다.
흔히 대부분의 멜웨어는 사용자 모르게 시스템에 침투한다. 그러나 ‘클릭픽스’는 사용자 선택과 동작을 역이용하는 수법이다. 시스템이 사용자의 선택과 작동 방식을 정상적인 동작으로 해석하기 때문이다.
더욱이 속아넘어가기 쉬운 도구를 사용한다는 점이 특징이다. 앞서 설명했듯이 대표적으로 ‘윈도우 실행 대화 상자’나 macOS 터미널과 같은 내장 인터페이스를 활요한다. 이런 유틸리티들은 누구나 믿고 신뢰할 만하며, 그 때문에 보안 소프트웨어에서 탐지되는 경우가 드물다. 이로 인해 사이버 공격이 극히 정상적이고 악의적이지 않은 것처럼 보이기 마련이다.
대부분의 ‘클릭픽스’ 공격은 파일을 디스크에 저장하지 않고, 그저 메모리에서 완전히 실행될뿐이다. 이런 파일리스 동작은 최소한의 흔적만 남기므로, 나중에 보안팀이 이를 추적하기도 어렵다.
또한 대부분의 운영 체제는 클립보드 활동을 면밀히 모니터링하지 않기 마련이다. 그 때문에 이러한 악성 코드가 여간해선 감지되지 않는다.
‘클릭픽스’ 공격은 소비자를 속이기 위해 흔히 낯익은 기술적 문제로 위장한다. 예를 들어, 위험한 코드를 모방하는 위조된 ‘CAPTCHA’ 페이지나 ‘복구’ 버튼이 있는 브라우저 충돌 메시지, 사용자에게 플러그인을 다운로드하도록 유도하는 문서 뷰어 오류 메시지 등이 그런 경우다 ‘화상 통화 권한 경고’도 악용된 경우도 있다. 그러므로 “이런 익숙한 메시지나 신호가 있을수록 사용자들은 과연 그런 메시지나 지시 사항이 진짜인지 의심하지 않고 따를 가능성이 더 높다”는 경고다.