[포인트 콕콕] 멀웨어와 결합하며 더 무서워진 클릭픽스

클릭픽스가 우습나? 그렇다면 오산이다. 흔한 소셜엔지니어링 기법의 변종일 뿐이라고 얕봐서는 큰코 다친다. 특히 최근 해커들은 클릭픽스 기법에 베놈 스틸러(Venom Stealer)라는 탈취형 멀웨어를 결합시켜 그 위력을 증폭시키고 있기까지 하다. 오죽하면 애플이 얼마 전 패치를 통해 맥OS 일부 버전에 클릭픽스 방어 기능까지 추가했을까. 무슨 일이 일어나고 있는지 핵심만 간단히 짚어보자.

클릭픽스는 뭐야?

1) 초간단 요약: 사용자의 특정 행동을 유도하는 공격
2) 악성 링크를 클릭하게 하거나 악성 파일을 열게 하는 기존 소셜엔지니어링과 본질적으로 동일
3) 하지만 ‘본질만’ 같고, 실제 뭘 실행하게 하느냐에서는 큰 차이 보임
4) 여기에 속은 사용자는 파워셸이나 악성 명령을 공격자 대신 실행
5) 왜 속냐? ‘오류 해결하려면 클릭’, ‘인증 위해서 캡챠 풀기’, ‘사람인 걸 입증하기 위해 다음 행동을 순차적으로 실시’라는 메시지를 내세우기 때문(종류는 무궁무진)
6) 하지만 실제 클릭하는 건 악성 실행파일. 캡챠를 푸는 줄 알았는데 악성 플러그인을 실시. 사람인 걸 입증하는 줄 알았는데 터미널에 악성 명령 붙여넣기 하고 실행 등등
7) 취약점 익스플로잇이 아니라 사람 익스플로잇. 공격자에게 필요한 행위를 대신하게 함
8) 그래서 보안 솔루션 우회에 매우 효과적. 보안 솔루션이 보기에는 사용자들이 정상 행위를 한 것이기 때문

* 행동을 유도한다는 것 자체는 기존 피싱과 동일. ‘어떤 행동’을 유도하느냐에서 차이 나타남

베놈 스틸러는 뭐야?

1) 사용자의 민감 정보를 훔치는 멀웨어이자 악성코드
2) 브라우저 데이터, 쿠키, 세션, 비밀번호, 암호화폐 정보, 시스템 정보 등을 훔침
3) 훔친 데이터를 공격자의 C&C 서버로 전송
4) 즉, 한 번 침투해 실행되면 피해자의 데이터가 일사천리로 공격자에게로 넘어가게 됨

둘이 합쳐진다는 건 뭐야?

1) 공격자가 피해자에게 클릭픽스를 실시
2) 피해자는 공격자가 원하는 행동을 대신 해줌. 베놈 스틸러를 자기 손으로 직접 설치
3) 피해자 컴퓨터에서 베놈 스틸러가 실행되고, 순식간에 데이터가 공격자에게로 전송됨
4) 끝. 초간단 공격 체인 완성됨

원래 데이터 탈취 공격은 그런 거 아녔어?

1) 공격자가 피해자 시스템을 정찰해 취약점을 파악
2) 취약점을 익스플로잇 하는데, 요즘에는 여러 취약점을 연쇄적으로 하는 게 일반적
3) 침투에 성공한 후 횡적으로 이동하면서 중요 시스템에 접근하거나 권한을 상승시킴
4) 가장 중요한 데이터나 계정에 도달할 때까지 피해자 망과 시스템을 꾸준히 탐색
5) 마침내 중요한 아이템 발견. 탈취

즉, 훨씬 복잡하고 오래 걸렸음. 이걸 ‘피해자가 클릭픽스 통해 직접 멀웨어 설치해 실행시킨다’로 대체한 것. 침투와 실행과 탈취라는 단계별 악성행위를 하나의 흐름으로 묶어버리고 단순화시킨 것이라 할 수 있음

큰 의미 있는 변화야?

1) 공격 절차가 간소화 됨
2) 그러므로 시간이 짧아짐
3) 그러므로 탐지 확률 낮아짐.
4) 피해자 행위 유발이 곧 목표 달성이 되는 것과 동일. 긴 공격 체인을 압축한 효과.
5) 횡적 이동 불필요, 장기 체류 불필요, 피해자 관리 불필요...|
6) 현존 보안 솔루션 대다수 무력화
7) 기존: 문 따고 들어가 장과 책상 뒤져서 물건 찾은 후 가지고 나옴
8) 지금: 사용자가 물건 챙겨서 문까지 열어준 뒤 도둑에게 쥐어줌
9) 기존: 한 번 속더라도 피해 최소화 노력 여지 남음
10) 지금: 한 번 속으면 상황 종료

그래서 애플까지 조치 취하는데

1) 왜? 클릭픽스 유행이 얼마나 심상치 않으면...
2) 왜? ‘사용자가 공격자 대신 움직인다’는 점 때문에 OS도 가리지 않는 클릭픽스라...
3) 뭘? 터미널에 위험한 명령이 붙여넣기 후에 실행될 경우 경고 팝업 나타나게
4) 당연히 실행하지 않고 경고부터 띄움. 사용자가 승인하면 그제야 실행
5) 실행 지연 + 위험 경고 = 안전한 OS
6) 물론 한계 존재. 사용자가 경고를 읽지 않고 기계적으로 ‘허락’을 누르면 말짱 꽝

클릭픽스, 유행이야? 더 커질 것 같아?

1) 2025년 기준 클릭픽스 공격이 517% 증가
2) 피싱에 이어 어엿한 2위 공격 기법(순위 밖에서 갑자기 2위로 등극)
3) 2026년을 넘어 꽤 오랜 기간 상위권에 있을 것으로 예상됨
4) 베놈 스틸러와의 결합에서 보여주듯, 클릭픽스가 자꾸만 응용되고 발전한다는 게 더 큰 문제

어떻게 막지?

1) 속지 않는 게 가장 중요. 요즘은 ‘오류 해결’, ‘보안 인증’, ‘터미널로 복사’ 등과 같은 미끼가 많이 사용되므로, 이런 류의 메시지가 뜨면 일단 의심|
2) 기업 환경에서라면 파워셸, 터미널 등의 사용을 제한하는 게 안전. 스크립트 실행 정책도 강화하고 매크로는 기본적으로 비활성화시키는 게 방어 효과 높임
3) 개인 사용자라면 모르는 명령어는 확실히 알아보고 실행. ‘복사해 붙여넣기’ 방식의 요구는 무조건 차단🆃🆃🅔

by 문가용 기자(anotherphase@thetechedge.ai)

Related Materials

• Microsoft Threat Intelligence가 2024년 12월부터 이어진 Booking.com 사칭 피싱에서 ClickFix 사회공학 기법을 사용해 사용자가 직접 명령을 실행하도록 유도했고, 그 결과 Lumma Stealer, VenomRAT, XWorm 등 여러 인포스틸러·RAT 계열 페이로드가 내려간다고 분석한 글 「Phishing campaign impersonates Booking.com, delivers a suite of credential-stealing malware」 - Microsoft Security Blog , 2025년(2024년 말~2025년 초 캠페인 분석)
• Microsoft 분석을 인용해, ClickFix가 가짜 CAPTCHA와 위장 메시지로 피해자가 스스로 악성 명령을 붙여넣게 만든 뒤 VenomRAT, Lumma Stealer, Danabot 등 다중 악성코드를 배포하는 최신 피싱 흐름이라고 정리한 기사 「ClickFix Phishing Scam Impersonates Booking.com to Target Hospitality」 - Infosecurity Magazine , 2025년(2024년 말 캠페인 확산 내용)
• Cegeka CSIRT가 2025년 초 관찰한 StealeriumPy 변종이 ClickFix를 통해 배포되며, 사용자가 직접 실행한 명령으로 정보탈취형 스틸러가 설치되는 구조를 설명한 블로그 「StealeriumPy: A Stealerium variant delivered through ClickFix」 - Cegeka , 2025년(ClickFix와 인포스틸러 결합 사례 정리)
• Resilience가 2024년부터 관찰된 ClickFix 공격을 설명하면서, 이 기법이 XWorm, Lumma Stealer, VenomRAT, AsyncRAT 등과 연계되어 계정 탈취·키로깅·원격 제어로 이어질 수 있다고 분석한 글 「Understanding the ClickFix attack」 - Resilience , 2025년(2024년 관측 사례 기반)

[포인트 콕콕] 악성 npm 패키지 주의보

💡Editor’s Pick - 고스트 캠페인 진행 중...7개 악성 패키지 확산 - 얼마 전 발견된 고스트클로 캠페인과 여러 면에서 유사 - 지금은 개발자들이 ‘조심 또 조심’을 실천해야만 하는 때 암호화폐 지갑과 민감 정보를 훔치도록 설계된 악성 npm 패키지들이 발견됐다. 이를 제일 처음 알아차린 보안 기업 리버싱랩스(ReversingLabs)는 이것들이 하나의

더테크엣지(The Tech Edge)문가용 기자