단 한 번의 클릭, 그 뒤에 숨은 공격자 – ClickOnce 를 악용한 사이버 위협

“한 번의 클릭이면 설치가 완료됩니다.” 매우 편리한 이 기능이, 공격자에게는 최적의 침투 통로가 될 수 있습니다. 최근 보안 연구원들은 ClickOnce 기술을 악용한 새로운 사이버 공격 캠페인 ‘OneClik’ 을 발견했습니다. 에너지, 석유, 가스 기업 등 국가 기반 산업을 대상으로 한 이 공격은, Microsoft의 정식 기능과 오픈소스 백도어를 조합하여 조직 내부로 침투하고 있었습니다.

---

ClickOnce 란 무엇인가요?

ClickOnce 는 마이크로소프트에서 제공하는 애플리케이션 배포 기술입니다. 설치 파일을 따로 내려받아 실행하지 않아도, 웹에서 한 번만 클릭하면 프로그램이 설치되고 실행되는 방식입니다.

 

---

ClickOnce를 어디서 경험했을까요?

저도 처음 이 기술을 접했을 때, 구글 크롬을 설치하던 경험이 떠올랐습니다. 구글 웹사이트에서 ‘Chrome 다운로드’를 클릭하자, 복잡한 설치 창이나 권한 확인 없이 아래 창을 띄우면서 자연스럽게 실행되고 설치되었던 기억이 있습니다.

 

사용자 입장에서는 “이렇게 간단해도 되나?” 싶을 정도로 편리한 기능이라고 생각했습니다.

ClickOnce는 바로 이런 경험을 제공합니다. 복잡한 절차 없이, 클릭 한 번으로 프로그램이 설치되고 실행되기 때문에, 사용자는 경계심을 갖기 어렵고, 공격자 입장에서는 최소한의 사용자 행동만 유도하면 되는 장점이 됩니다.

---

공격자는 어떻게 침투했을까요?

이번 공격에서는 피해자에게 이메일로 ‘하드웨어 분석 보고서’ 링크가 전달됩니다. 이를 클릭하면 정식 인증이 포함된 ClickOnce 패키지가 내려받아지고, 윈도우의 신뢰된 설치 관리 도구인 dfsvc.exe를 통해 자동 실행됩니다.

 

표면상 이 앱은 정상처럼 보입니다. 하지만 실제로는 내부에 RunnerBeacon이라는 악성 백도어가 숨겨져 있으며, 다양한 통신 방식을 통해 외부 공격자와 연결된 후, 내부 명령 실행·파일 탈취·권한 상승 등을 수행합니다.

 

---

이 공격이 왜 위험할까요?

• 정상처럼 보이기 때문에 탐지되지 않습니다.
  • Microsoft의 공식 서명과 시스템이 사용되기 때문에 보안 솔루션에서도 탐지 우회가 가능합니다.
• 사용자가 의심조차 하지 않습니다.
  • 클릭만 했을 뿐인데, 어느새 프로그램이 실행되고 내부 네트워크로 스며듭니다.
• 흔적을 남기지 않습니다.
  • 악성코드는 디스크에 저장되지 않고 메모리에서만 실행되어, 일반적인 방식으로는 추적이 어렵습니다.
• 산업제어시스템(ICS) 영역까지 침투합니다.
  • RunnerBeacon은 내부망으로 이동하며 포트 포워딩을 시도하고, 주요 시스템 인접망까지 접근하려 합니다.

 

---

우리는 어떻게 대응해야 할까요?

• 조직 내 불필요한 ClickOnce 사용을 그룹 정책으로 비활성화해야 합니다.
• _dfsvc.exe_의 자식 프로세스 활동을 모니터링하여 의심스러운 설치를 탐지해야 합니다.
• 클라우드 트래픽에 숨어든 통신을 식별하기 위해, 비정상적인 AWS egress 트래픽을 탐지할 수 있는 모니터링 체계를 구축해야 합니다.

단 한 번의 클릭으로 내부망이 뚫리는 것을 막으려면, 기술뿐 아니라 사용자의 인식 개선과 사전 방어 체계가 함께 필요합니다.

 

---

블랙쏘세지는 ClickOnce 도 원격에서 격리합니다

ClickOnce 기반의 악성 링크가 스마트폰이나 메신저로 전달되어도, 클릭한 링크가 직접 실행되지 않도록 격리할 수 있는 방법이 있습니다. 블랙쏘세지는 원격 브라우저 격리(RBI) 기술을 사용하여, 모든 링크를 사용자의 기기가 아닌 외부 안전 환경에서 먼저 열어봅니다.

 

이로써 악성 프로그램이 자동으로 설치되거나 실행되는 위험을 원천 차단할 수 있습니다. 이제는 어떤 링크든 “먼저 블랙쏘세지로 열어보세요.” 단 한 번의 클릭이 더 이상 위협이 되지 않도록 보호해 드립니다.

 

 

블랙 쏘세지 - 해킹 방지, 피싱, 스미싱, 스팸 차단