안랩 “클로드 다운로드 사칭 피싱 주의”

안랩은 최근 생성형 인공지능(AI) 서비스 ‘클로드(Claude)’ 다운로드 페이지로 위장한 피싱 사이트에서 정보 탈취형 악성코드가 유포되는 사례를 확인하고 사용자 주의를 당부했다고 22일 밝혔다.

해당 피싱 사이트는 클로드 공식 홈페이지를 정교하게 모방했다. 사이트에는 “Bring Claude to your Desktop”이라는 문구와 함께 윈도우, 맥 운영체제(OS)별 다운로드 버튼이 배치됐다. 사용자가 자신의 OS에 맞는 버튼을 누르면 설치 파일이 내려받아지는 대신 설치 방법을 안내하는 팝업창이 나타난다.

팝업창은 특정 명령어를 복사해 PC 시스템에 붙여넣으면 다운로드가 시작된다고 안내한다. 그러나 사용자가 이 절차를 따르면 악성코드가 설치된다. 악성코드는 PC 안의 파일, 브라우저 저장 정보, 암호화폐 지갑 정보 등을 탈취해 공격자 서버로 전송한다.

안랩은 이런 방식이 ‘클릭픽스(ClickFix)’ 기법이라고 설명했다. 클릭픽스는 안내문이나 오류 팝업을 가장해 사용자가 악성 명령어를 직접 복사·실행하도록 유도하는 공격 방식이다. 공격자는 보안 프로그램 탐지를 피하기 위해 사용자의 직접 실행 행위를 악용한다.

이번 피싱 사이트는 발견 당시 구글에서 ‘클로드 앱(claude app)’, ‘클로드 데스크톱(claude desktop)’ 등을 검색하면 결과 최상단에 노출됐다. 안랩은 공격자가 클로드를 PC에 설치하려는 사용자를 유인하기 위해 구글 검색 광고 서비스를 사용한 것으로 추정했다.

검색 결과 상단에 노출된 사이트라도 공식 사이트인지 확인해야 한다. 특히 설치 안내를 이유로 명령어 복사와 붙여넣기를 요구하는 경우 악성코드 유포 가능성을 의심해야 한다.

글. 바이라인네트워크
<곽중희 기자>god8889@byline.network