"설치 눌렀더니 코인 지갑 해킹"…'클로드' 사칭 사이트 주의보

(서울=뉴스1) 김민재 기자 = 앤트로픽의 생성형 인공지능(AI) 서비스 '클로드'(Claude)를 사칭하는 웹사이트가 등장했다. 이 사이트는 구글 검색 결과 최상단에 노출돼 각별한 주의가 요구된다.

안랩(053800)은 '클로드' 공식 홈페이지를 정교하게 모방해 악성 코드 다운로드를 유도하는 피싱 사이트를 발견했다고 22일 밝혔다.

해당 사이트는 'Bring Claude to your Desktop'(클로드를 데스크톱에서 이용해 보세요)이라는 문구와 함께 윈도우와 맥(Mac) 등 운영체제(OS)별 다운로드 버튼을 제공한다.

사용자가 자신의 OS에 맞는 다운로드 버튼을 클릭하면 설치 파일 대신 설치 방법을 안내하는 팝업창이 나타난다.

안내문은 특정 명령어를 복사해 컴퓨터 내 시스템에 붙여 넣으면 다운로드가 시작된다고 설명한다.

하지만 이 절차를 수행하면 악성 코드가 설치된다. 해당 코드는 컴퓨터 내 파일과 브라우저 저장 정보, 암호화폐 지갑 정보 등을 공격자 서버로 전송한다.

이처럼 안내나 오류 팝업 등을 사칭해 사용자가 '복사 및 붙여넣기' 방식으로 악성 명령을 실행하게 만드는 방식을 '클릭픽스'(ClickFix) 기법이라 한다.

사측은 '클로드 앱', '클로드 데스크톱' 등 단어를 구글에 검색하자 피싱 사이트가 최상단에 노출됐다고 설명했다.

회사는 △상단 노출 여부와 관계없이 도메인 주소 확인 △인터넷 브라우저 최신 보안 패치 적용 △백신 실시간 감시 기능 활성화 등을 당부했다.

안랩은 "공격자가 사용자를 유인하기 위해 구글 검색 광고 서비스를 사용해 노출 순위를 조작한 것으로 추정된다"며 "상단 노출을 신뢰하는 인식을 악용한 공격이 지속해서 확인된다"고 했다.

안랩은 이번 사례를 포함한 최신 위협 정보를 차세대 위협 인텔리전스 플랫폼 '안랩 TIP'에서 제공한다.

minjae@news1.kr