클릭픽스 캠페인, 해킹된 사이트 악용하여 악성코드 배포
최근 사이버보안 전문가들이 클릭픽스(ClickFix) 캠페인의 새로운 변종을 발견했습니다. 이 캠페인은 해킹된 합법적 웹사이트를 악용하여 MIMICRA라는 이름의 악성코드를 배포하고 있습니다.
클릭픽스란 무엇인가?
클릭픽스는 사용자를 속여 악성 스크립트를 실행하게 만드는 소셜 엔지니어링 기법입니다. 일반적으로 다음과 같은 방식으로 작동합니다:
- 사용자가 해킹된 웹사이트를 방문합니다
- 가짜 오류 메시지나 캡차 확인 창이 표시됩니다
- 사용자는 문제를 해결하려면 표시된 스크립트를 복사하여 실행하라는 지시를 받습니다
- 사용자가 스크립트를 실행하면 악성코드가 시스템에 설치됩니다
이 기법은 2024년 하반기부터 2025년 상반기 사이에 517% 증가했으며, 현재 가장 활발히 사용되는 공격 벡터 중 하나입니다.
MIMICRA 악성코드 특징
보안 연구팀에 따르면, MIMICRA는 다음과 같은 특징을 가지고 있습니다:
- 데이터 탈취: 사용자 정보 및 자격 증명을 수집합니다
- 시스템 장악: 감염된 시스템에 대한 원격 액세스 권한을 확보합니다
- 추가 악성코드 다운로드: 다른 악성 프로그램을 설치할 수 있습니다
영향을 받는 대상
ESET의 연구에 따르면, 클릭픽스 공격은 전 세계적으로 발생하고 있으며, 특히 일본, 페루, 폴란드, 스페인, 슬로바키아에서 가장 높은 탐지율을 보이고 있습니다.
또한, 이 기법은 단순한 범죄 그룹뿐만 아니라 이란, 북조선, 러시아 등의 국가 지원 해킹 그룹들도 사용하고 있는 것으로 확인되었습니다. 대표적인 그룹으로는 TA427, TA450, UNK_RemoteRogue, TA422(APT28) 등이 있습니다.
방어 방법
보안 전문가들은 다음의 조치를 권장합니다:
- 불분명한 스크립트 실행 금지: 오류 메시지나 캡차 요청과 함께 표시된 스크립트는 절대 실행하지 마세요
- 웹사이트 신뢰성 확인: 해킹된 합법적으로 보이는 사이트도 위험할 수 있습니다
- 보안 소프트웨어 사용: 신뢰할 수 있는 보안 프로그램을 항상 최신 상태로 유지하세요
- 사용자 교육: 직원 및 가족에게 이러한 공격 방식에 대해 교육하세요
결론
클릭픽스 캠페인은 점점 더 정교해지고 있으며, 일반 사용자와 기업 모두에게 심각한 위협이 되고 있습니다. 특히 해킹된 합법적 사이트를 악용하는 방식은 사용자의 신뢰를 악용하여 공격 성공률을 높이고 있습니다. 항상 경계심을 가지고, 의심스러운 메시지나 요청에는 조심스럽게 대응하시기 바랍니다.
출처: The Hacker News, ESET, Proofpoint