Google Meet 가짜 페이지를 이용한 ClickFix 피싱 캠페인의 심각성 및 대응 전략

가짜 Google Meet 페이지를 통해 개인 정보를 노리는 ClickFix 피싱 공격, 어떻게 대응할 것인가?

최근 사이버 보안 업계에서 큰 화두가 되고 있는 "ClickFix" 피싱 캠페인은 가짜 Google Meet 페이지를 통해 사용자들을 속이고 있습니다. 이번 피싱 캠페인은 특히 Windows와 macOS 사용자 모두를 표적으로 삼아 민감한 정보를 탈취하려는 고도화된 전략을 취하고 있습니다. 이 글에서는 ClickFix의 구체적인 동작 방식, 사용되는 가짜 URL, 배후 조직에 대한 정보, 그리고 이에 대응 하기위한 보호 전략에 대해 다뤄 보겠습니다.

 

ClickFix 캠페인, 어떻게 운영되고 있는가?

ClickFix 캠페인은 사용자들이 실제로 Google Meet와 같은 서비스로 착각하도록 만드는 위장된 웹 페이지를 이용해 공격을 시도합니다. 사용자는 피싱 페이지에 접속한 후 특정 파워셸(PowerShell) 명령어를 복사하고 실행하게 유도되며, 이 과정에서 악성코드가 시스템에 설치되어 민감한 정보가 유출됩니다. 이번 피싱 캠페인은 Google Meet뿐만 아니라 Facebook, Google Chrome, PDFSimpli와 같은 인기 있는 다른 온라인 서비스 페이지도 위장 플랫폼으로 활용합니다. 이처럼 다양하고 광범위한 위장 플랫폼 사용은 사용자들이 경계심을 늦추고 피싱 공격에 노출되기 쉽게 만듭니다.

특히 ClickFix의 공격 방식은 보안 툴의 탐지를 교묘히 회피하는 데 중점을 두고 있습니다. 사용자가 악성 파워셸 스크립트를 직접 실행하는 형태이기 때문에 많은 보안 솔루션이 이를 탐지하지 못할 가능성이 있습니다. 따라서 개인 사용자와 기업 모두가 경계를 늦추지 않는 것이 중요합니다.

가짜 URL의 리스트와 특성

ClickFix 캠페인은 정교하게 위장된 URL을 사용하여 사용자를 속입니다. 이 URL들은 진짜 서비스와 거의 유사한 형태로 설계되어 있어 사용자들이 쉽게 속을 수 있습니다. 다음은 ClickFix에서 사용된 가짜 URL 리스트와 그 특성을 표로 정리한 것입니다

 

가짜 URL특성 설명

meet.google.us-join[.]com	실제 Google Meet 도메인처럼 보이지만, '.us-join'이라는 비정상적인 하위 도메인을 사용하여 사용자를 속입니다.
meet.googie.com-join[.]us	'google' 대신 'googie'라는 철자를 사용하여 시각적으로 유사하게 보이도록 설계되었습니다. 사용자가 철자를 잘못 읽도록 유도합니다.
meet.google.com-join[.]us	'google.com'을 포함하고 있어 신뢰할 수 있는 URL처럼 보이지만, '-join.us' 부분이 추가되어 의심스러운 도메인입니다.
meet.google.web-join[.]com	'web-join'이라는 부가적인 부분을 추가하여 사용자가 이를 공식 Google 도메인으로 착각하게 만듭니다.
meet.google.webjoining[.]com	'webjoining'이라는 단어를 추가하여 마치 Google Meet와 관련된 공식 웹사이트인 것처럼 보이게 합니다.
googiedrivers[.]com	'google'과 유사한 'googie' 철자를 사용하여 사용자를 속이며, 드라이버 설치와 관련된 사이트로 위장합니다.
us01web-zoom[.]us	Zoom 회의 링크처럼 보이도록 설계되어 사용자를 속이며, '.us' 도메인을 사용해 미국 기반의 공식 서비스처럼 보이게 합니다.

이러한 URL들은 철저하게 설계되어 사용자들이 이를 실제 서비스로 착각하도록 만들며, 위협을 더욱 심각하게 만듭니다. 특히 조직 내 사용자들이 이러한 링크에 노출되었을 때 피해 규모가 커질 가능성이 큽니다.

배후 조직과 공격의 규모

ClickFix 피싱 캠페인은 Slavic Nation Empire와 Scamquerteo라는 두 하위 조직과 밀접한 관련이 있을 것으로 추정됩니다. 이들은 markopolo와 CryptoLove라는 더 큰 사이버 범죄 조직의 하위 팀으로 활동하고 있으며, 인프라를 공유하여 '착륙 프로젝트'라는 명칭으로 알려진 공동의 운영 방식을 사용하고 있습니다. 이러한 조직적인 움직임은 특정 사이버 범죄 서비스가 이들의 인프라를 중앙에서 관리하고 있을 가능성을 시사합니다.

이러한 구조화된 협력과 조직적 범죄 활동은 단순히 개별 공격자의 피싱 공격보다 훨씬 더 큰 위협을 야기하며, 기업 및 개인 모두에게 심각한 보안 위험을 초래합니다.

ClickFix 피싱 캠페인에 대한 대응 방법

1. 의심스러운 링크 주의: 위에 언급된 URL이나 유사한 패턴의 사이트를 방문하는 것을 피하는 것이 가장 중요합니다. 이메일이나 메시지에서 제공된 링크를 클릭하기 전에 항상 URL을 주의 깊게 확인하고, 조금이라도 의심스럽다면 정식 웹사이트로 직접 접속하여 문제를 예방해야 합니다.

 

2. 보안 툴 및 시스템 최신화: 운영 체제, 보안 소프트웨어, 브라우저를 항상 최신 상태로 유지하는 것이 중요합니다. 특히 안티바이러스 소프트웨어와 파이어월을 최신으로 유지하고 활성화하여 시스템을 보호해야 합니다. 최신 보안 패치를 적용하지 않는 경우 악성코드에 취약할 수 있습니다.

 

3. 알려진 보안 위협 업데이트 확인: Threat intelligence를 통해 최신 보안 위협을 지속적으로 모니터링하는 것이 필요합니다. 보안 뉴스 사이트(예: Hacker News 등)를 구독하여 최신 피싱 캠페인 및 보안 위협 정보를 확인하는 것이 좋습니다.

 

4. 심화 보안 교육: 조직의 경우, 직원들에게 지속적인 보안 교육을 제공하여 사회 공학적 공격에 대한 인식을 높여야 합니다. 이를 통해 피싱 이메일이나 악성 링크를 식별하는 능력을 키우고, 잠재적인 피해를 최소화할 수 있습니다.

 

5. 다중 인증(MFA) 활성화: 다중 인증을 활성화하면 피싱을 통해 도용된 정보만으로 계정을 탈취하는 것을 어렵게 만듭니다. 계정 보호를 위해 MFA를 꼭 사용하세요.

결론: 경계를 늦추지 말고 대비하라

끊임없이 진화하는 사이버 위협 환경 속에서 ClickFix와 같은 피싱 캠페인은 사용자와 기업 모두에게 큰 도전 과제를 제시합니다. 피싱 공격이 점점 더 정교해지고, 다양한 온라인 서비스와 접목하여 진행되면서 피해를 입을 가능성도 높아지고 있습니다. 개인 사용자와 기업은 끊임없이 보안 모니터링을 강화하고, 대응 시스템을 개선하며, 현재 상황에 대한 인식을 높이는 것이 중요합니다.

자주 묻는 질문 (FAQ)

1. ClickFix 피싱 캠페인의 주요 표적은 누구인가요?

ClickFix는 Windows와 macOS 사용자를 모두 표적으로 삼고 있으며, 특히 개인 사용자와 중소기업이 주요 표적입니다.

 

2. 가짜 URL을 쉽게 식별할 수 있는 방법이 있나요?

가장 쉬운 방법은 URL을 꼼꼼히 확인하는 것입니다. 의심스러운 도메인이나 철자가 잘못된 URL은 피싱 페이지일 가능성이 높습니다.

 

3. 피싱 공격을 당한 경우 어떻게 해야 하나요?

피싱 공격을 당했을 때는 즉시 비밀번호를 변경하고, 해당 계정에 대해 다중 인증을 설정하며, IT 보안 전문가의 도움을 받아 시스템을 검사하는 것이 좋습니다