여러 사이버보안 업체가 가짜 캡차(CAPTCHA) 로그인 인증 페이지를 이용해 직원을 속이고, 악성코드를 다운로드하도록 유도하는 사례에 경고하고 나섰다.

캡차는 웹사이트 로그인 과정에 추가되는 테스트로, 사용자가 자동화된 봇이 아닌 실제 사람인지 확인하는 역할을 한다. 예를 들어 팝업 창에 표시된 무작위 숫자를 입력하거나 특정 이미지가 포함된 박스를 선택하는 등의 방식으로, 이런 작업은 봇이 수행하기 어렵다.

그러나 보안 업체의 경고에도 불구하고 여전히 가짜 캡차를 이용해 악성코드를 유포하는 사례가 많다. 이런 방식은 여전히 효과적인 전술로 보는 듯하다.

넷스코프 위협 연구소(Netskope Threat Labs) 디렉터 레이 칸자네제는 인터뷰에서 “2025년 내내 이런 공격이 계속될 것으로 예상한다”라고 말했다. 지난달 발표한 넷스코프 경고문에 따르면, 공격 목표는 ‘루마 스틸러(Lumma Stealer)’라는 정보 탈취형 멀웨어를 확산시키는 것이다.

칸자네제는 “가짜 캡차 공격이 갈수록 증가하고 있다. 올해 들어 평일마다 이런 가짜 페이지에 접속하는 피해자가 발생하지 않은 날이 없었다. 1월 한 달 동안 수천 명이 이 공격에 노출됐다. 2월에도 피해자가 수천 명을 넘을 것으로 예상한다”라고 말했다.

경고에도 불구하고 이런 공격 방식이 여전히 사용되는 이유에 대해 칸자네제는 “매번 공격에 성공할 필요는 없다. 충분히 자주 성공하기만 한다면 여전히 가치 있는 방식이다”라고 언급했다.

릴리아퀘스트(ReliaQuest)의 사이버 위협 인텔리전스 분석가 알렉스 카파로는 고객들이 경험한 공격 사례가 급증하면서 지난해 12월 경고를 발표했다며 “2024년 9월 초부터 이런 공격을 관찰하기 시작했으며, 10월부터 12월 초까지 공격은 거의 2배 증가했다. 이후 그 수치는 다시 2배로 늘었다”라고 설명했다.

실제로 카파로는 “최근 릴리아퀘스트 고객사 한 곳이 가짜 캡차 공격을 당할 뻔한 사례가 있었다”라며 “합법적인 보안 연구원과 그렇지 않은 보안 연구원이 깃허브와 같은 개발자 사이트에 관련 템플릿을 공개한 점도 문제를 키웠다”라고 지적했다.

가짜 캡차의 작동 방식

최근 발생한 가짜 캡차 공격은 주로 직원을 속여 악성 스크립트를 복사해 자신의 윈도우 PC에 붙여넣도록 유도하는 방식이다.

이런 공격은 종종 직원이 신뢰할 수 있는 발신자로 보이는 이메일이나 문자 메시지를 받는 것에서 시작한다. 메시지에는 회사 업무와 관련된 웹사이트로 이동하라는 요청이 포함된다. 예를 들어, 개발자에게는 “귀하의 리포지토리에서 보안 취약점이 발견되었습니다”와 같은 내용과 함께 가짜 깃허브 링크를 클릭하라는 요청이 전달되는 식이다.

혹은 개인이 특정 애플리케이션 업데이트나 사용 설명서를 검색하는 과정에서 감염된 웹사이트에 우연히 방문할 수도 있다. 이런 웹사이트는 “사용자가 사람인지 확인하세요”라는 메시지를 띄우지만, 일반적인 캡차처럼 사진 선택이나 숫자 입력을 요구하는 대신, 특정 스크립트(악성 스크립트)를 복사하라는 지시를 받는다.

더 최신 버전의 사기 방식에서는 windows + R을 누르도록 유도하는데, 이는 윈도우에서 ‘실행’ 창을 띄우는 단축키다. 다음 절차로 Ctrl + V를 눌러 복사한 스크립트를 실행 창에 붙여넣고, Enter 키를 눌러 실행하도록 만든다. 변형된 방식에서는 “인증 실패”라는 팝업 창이 나타나는 경우가 있다. 이때 사용자는 문제를 해결하려면 특정 스크립트를 복사해 실행하거나, 루트 인증서(root certificate)를 설치하라는 지시를 받는다. 때로는 인증 페이지에 클라우드플레어(CloudFlare) 로고가 표시돼 있다. 이는 신뢰할 수 있는 브랜드명을 악용해 정당한 요청으로 착각하도록 만들기 위함이다.

어떤 수법이든 해당 스크립트는 악성 파워셸 명령어로, 실행하면 공격자의 C2C 서버에 연결된다. 이후 C2C 서버는 루마 스틸러 또는 기타 멀웨어를 사용자 컴퓨터로 전송한다. 요컨대 공격자는 멀웨어를 설치하지 않는다. 직원이 스스로 멀웨어를 다운로드하도록 만드는 것이 목표다.

젠 디지털(Gen Digital)에서 노턴, 어베스트, AVG 등 여러 사이버보안 브랜드를 담당하는 위협 인텔리전스 책임자 미할 살라트는 “2024년 9월 이후 이 공격 방식이 급격히 발전했다”라고 밝혔다. 젠 디지털 역시 지난해 가짜 캡차 공격 TTP를 분석해 공개한 바 있다.

살라트는 “처음에는 단순한 스크립트에서 시작됐지만, 이후 점점 더 정교한 방법이 추가되며 더욱 신뢰할 수 있는 것처럼 보이도록 발전했다. 이 방식이 상당히 높은 감염 성공률을 보이면서 더 많은 공격 그룹이 이를 활용하기 시작했다. 공격 방식이 더욱 정교해졌을 뿐만 아니라, 다른 악성코드 변종이나 배포 경로로도 확산되는 것이 확인됐다”라고 설명했다.

최근에는 사용자가 의심하지 않도록 스크립트 내용을 컴퓨터 코드 대신 일반적인 문장으로 변경하는 방식이 등장했다. 예를 들어, 문장 끝에 스마일 이모지(????)나 체크 이모지(✅)를 추가해 마치 정상적인 인증 절차인 것처럼 보이도록 속인다.

가짜 캡차에 속지 않는 방법

칸자네제와 카파로는 가짜 캡차 위협을 완화하기 위해 다음과 같은 조치를 취하라고 조언했다.

• 정기적인 보안 인식 교육에서 이와 같은 사기 수법에 대해 경고할 것. 직원에게 강조해야 하는 원칙은 간단하다. 어떠한 경우에도 컴퓨터에 명령어를 복사해 붙여넣지 않는 것이다. 또한 직원이 가족에게도 이런 종류의 사기를 주의하도록 알리는 것도 좋다. 불법 크랙 소프트웨어를 무료로 다운로드하려고 하거나 유튜브 튜토리얼을 검색하는 과정에서 이런 사기에 노출될 가능성이 높다.
• 파워셸 사용을 모니터링할 것. 대부분 기업에서는 극히 일부 직원만 파워셸에 접근할 수 있도록 제한하는 것이 바람직하다.
• 윈도우 실행 명령어 사용은 꼭 필요한 직원에게만 제한할 것. ‘사용자 구성 → 관리 템플릿 → 시작 메뉴 및 작업 표시줄’ 항목에서 “시작 메뉴에서 실행 메뉴 제거” 옵션을 활성화하면 된다. 이 정책을 관리자 계정이 아닌 사용자와 비개발자 PC에 적용하면 일반 직원이 이 기법을 악용한 멀웨어를 실행할 수 없다.
• 직원 PC의 브라우저에서 비밀번호 저장 기능을 비활성화할 것. 이런 조치는 정보 탈취형 멀웨어 즉, 인포스틸러(Inforstealer)가 브라우저에 저장된 인증 정보를 훔치는 것을 방지하는 데 도움이 된다.
• 2FA(2 Factor Authentication)을 활성화할 것. 계정 정보가 유출되더라도 추가 인증 단계가 있으면 피해를 줄일 수 있다.
• EDR 솔루션을 도입해 멀웨어를 감지하고 악성 스크립트 실행을 차단할 것.

dl-itworldkorea@founrdyco.com