클릭 한 번으로 침투하는 악성코드, ‘ClickFix’ 를 들어보셨나요?
요즘 사이버 공격자들이 새롭게 활용하는 방식 중 하나가 ClickFix라는 기법입니다. 이 방식은 사용자에게 가짜 시스템 오류 메시지를 보여주고, 이를 '수정'한다는 명목으로 악성 명령어를 클립보드에 복사하도록 유도합니다. 겉보기에는 단순한 안내 창처럼 보이지만, 실상은 매우 정교하게 설계된 사회공학적 공격입니다.
‘복사 → 붙여넣기’만 해도 감염된다?
ClickFix의 핵심은 사용자가 스스로 악성코드를 실행하게 만드는 것입니다. 공격자는 "지금 오류를 수정하지 않으면 브라우저가 작동하지 않습니다"라는 경고 창을 띄우고, 버튼 클릭 시 PowerShell 명령어나 터미널 명령어를 자동으로 클립보드에 복사합니다.
문제는 여기서 그치지 않습니다. 사용자는 "지시에 따라 붙여넣기만 하면 된다"라고 믿고, 아무런 의심 없이 명령어를 실행합니다. 그 결과, 감염은 단 몇 초 만에 이루어집니다. 사용자의 모든 계정 정보, 쿠키, 파일 등이 외부로 유출될 수 있습니다.
단순한 팝업이 아니라 정교한 위장
ClickFix는 Microsoft Office, Zoom, Google Meet 등 실제 서비스의 인터페이스를 모방하여 신뢰를 얻습니다. 메시지도 마치 운영체제나 백신 프로그램이 띄운 것처럼 보이기 때문에, 보안에 익숙하지 않은 사용자일수록 쉽게 속을 수밖에 없습니다.
또한, 최초 악성코드가 탐지되어 삭제되더라도, 이어서 추가 악성코드를 다운로드해 다시 침투하는 방식도 사용됩니다. 이는 일종의 ‘재감염 루프’로, 한번 속으면 계속해서 노출될 위험이 커지는 구조입니다.
모바일도 안전하지 않다
최근에는 ClickFix가 데스크톱뿐 아니라 모바일까지 노리는 형태로 진화하고 있습니다. 특히 스마트폰 사용자에게는 알림 창 하나만으로 클릭을 유도하고, 브라우저를 통해 악성 파일을 자동 다운로드하게 만드는 ‘드라이브 바이 다운로드’ 방식이 사용되고 있습니다.
문제는 모바일 환경에서는 사용자가 설치된 백신이나 보안 로그를 확인하기 어렵기 때문에, 감염 사실조차 모른 채 피해를 입을 수 있다는 점입니다.
블랙쏘세지로 링크를 안전하게 보세요
이러한 ClickFix 유형의 공격은 결국 사용자가 웹에서 특정 행위를 하도록 유도하고, 그 행위가 시스템 내부로 악성코드를 유입시키는 데 있습니다. 그래서 중요한 것은 링크를 열더라도 ‘행위가 발생하지 않도록’ 만드는 것입니다.
블랙쏘세지는 원격 브라우저 격리(Remote Browser Isolation) 기술을 기반으로 하여, 사용자가 링크를 클릭하면 스마트폰이 아닌 클라우드 상의 안전한 브라우저에서 대신 열어 보여줍니다. 그리고 무엇보다 중요한 두 가지 보안 장치가 있습니다.
- 클립보드 복사·붙여넣기 차단
- 사용자가 원격 브라우저 안에서 악성 명령어를 복사하거나 붙여 넣는 행위를 할 수 없도록 차단합니다.
- 파일 다운로드 차단
- 악성코드의 진입 경로가 되는 다운로드 기능 자체를 차단함으로써, 감염 가능성을 원천 차단합니다.
결과적으로, ClickFix와 같은 위협이 링크를 통해 유입되더라도 악성 행위가 실행되지 않으며, 안전하게 링크 화면만 확인할 수 있습니다.
