* 출처는 안랩입니다.
생성형 AI 서비스에 대한 관심이 높아질수록 이를 악용한 피싱 공격도 더 정교해지고 있다. 최근에는 클로드(Claude) 또는 클로드 코드(Claude Code) 등 클로드 계열 서비스를 사칭해 사용자를 가짜 설치·다운로드 페이지로 유도한 뒤, 악성 명령 실행을 통해 정보 탈취형 악성코드를 설치하게 만드는 사례가 잇따라 확인됐다. 해당 공격은 공식 페이지와 유사한 화면 구성, 운영체제별 설치 안내, 검색 결과 상단 노출이 활용돼 사용자가 정상 설치 과정으로 오인하기 쉽다. 익숙한 서비스명과 그럴듯한 설치 화면만으로는 안전성을 판단하기 어려운 만큼, 이번 글에서는 클로드 서비스 사칭 공격의 주요 수법과 대응 포인트를 살펴본다.
클로드 서비스 사칭, 왜 위험한가
이번 공격은 유명 서비스를 흉내 내는 데 그치지 않는다. 사용자가 프로그램을 설치하려는 상황을 노려 공식 사이트처럼 보이는 페이지에서 스스로 악성 명령을 실행하도록 유도한다는 점이 특징이다. 특히 생성형 AI와 개발 도구에 대한 관심이 높은 시점에는 사용자가 관련 서비스명을 검색해 직접 설치를 시도하는 경우가 많아, 공격자 입장에서는 이런 이용 흐름 자체가 효과적인 미끼가 될 수 있다.
공격 화면은 정상적인 다운로드 페이지나 설치 가이드처럼 보이도록 구성되며, 사용자가 별다른 의심 없이 버튼을 누르거나 안내에 따라 명령어를 복사해 실행하도록 설계된다. 결과적으로 사용자는 프로그램을 설치한다고 생각하지만, 실제로는 정보 탈취형 악성코드를 실행하게 된다.
사례 1. 클로드 코드 설치 가이드로 위장한 공격
구글 광고(Google Ads)를 악용해 클로드 코드 설치 가이드로 위장한 피싱 페이지로 사용자를 유도한 뒤, 악성 스크립트 실행을 유도하는 방식이다. 해당 공격에는 정보 탈취형 악성코드가 사용된 것으로 알려졌으며, 브라우저 쿠키, 로그인 DB, 로컬 저장 문서 파일 등 사용자 민감 정보 유출 위험이 제기된다. 또, 추가 백도어 설치나 후속 악성 행위로 이어질 가능성도 있어 감염 이후에는 실행 여부를 넘어 시스템 전반에 대한 점검이 필요하다.
이 공격은 사용자가 직접 설치 명령어를 복사해 입력하는 형태로 진행되며, 겉으로는 개발 툴 설치 과정처럼 보이지만 실제로는 사용자 시스템에 악성 파일을 내려 받아 실행하도록 설계돼 있다.
개발 환경에서는 터미널 명령어를 직접 실행하는 경우가 적지 않기 때문에, 사용자가 이를 비정상 행위로 인식하지 못할 수 있다. 또한 스크립트 호출, 파일 다운로드, 실행 권한 부여, 파일 실행 등이 단계적으로 이뤄질 경우, 평소 유사한 설치 경험이 있는 사용자일수록 자연스러운 절차로 받아들일 수 있다. 검색 결과 상단에 노출된 광고 역시 신뢰를 높이는 요소로 작용할 수 있어 각별한 주의가 필요하다.
사례 2. 클로드 다운로드 페이지로 위장한 피싱 사이트
또 다른 사례에서는 클로드를 사칭한 피싱 사이트가 확인됐다. 공격자는 클로드 공식 홈페이지를 정교하게 모방한 다운로드 페이지를 제작해 사용자가 악성코드를 다운로드하도록 유도했다.
[그림 1] 클로드 다운로드 페이지로 위장한 피싱 사이트
* 전체내용은 아래에서 확인하세요.
https://www.ahnlab.com/ko/contents/content-center/36140
미
할
![[출석 인증] 어느덧 2,300일 연속 출석 중이네요.](https://img.danawa.com/images/attachFiles/7/28/6027986_1.jpg?fitting=Large|320:240&crop=320:240;*,*)
