핵심 요약
지난 5월 10일 공개된 보고서에서 공격자가 구글 검색 광고와 앤트로픽(Anthropic)의 클로드(Claude) 공유 채팅 기능을 결합해 맥OS 대상 악성코드를 유포한 정황이 확인됐다. 공격은 ‘클로드 맥 다운로드’ 검색 이용자를 표적 삼아 정상 주소처럼 보이는 공유 채팅으로 유도하고, 터미널 명령 실행을 통해 악성 페이로드를 내려받게 했다. 마이크로소프트는 5월 6일 유사한 공격이 정보탈취형 악성코드를 유포한다고 경고했다. 보안업계는 공식 다운로드 경로와 터미널 명령의 출처 검증을 강조하고 있다.
핵심 사실
- 공개일: 관련 정황은 5월 10일 처음 보고되었다.
- 공격 수법: 구글 검색 광고와 클로드의 공유 채팅 기능을 연계해 사용자 신뢰를 악용했다.
- 표적 검색어: 공격자는 ‘클로드 맥 다운로드’를 찾는 이용자를 노렸다.
- 페이로드: 터미널에 붙여넣는 명령어로 악성 스크립트를 실행해 맥용 정보탈취형 악성코드를 설치했다.
- 관련 악성코드: 보고서에는 맥싱크, 슈브 스틸러, 아토믹 맥OS 스틸러(AMOS) 등 정보탈취형 악성코드가 언급됐다.
- 유사 사례: 비트디펜더는 3월 11일, 7AI는 4월 16일 유사 캠페인을 보고했다.
- 분석 공개: 마이크로소프트는 5월 6일 관련 공격과 악성코드 동작을 설명하는 분석을 공개했다.
사건 배경
검색광고는 이용자에게 빠르게 노출되는 만큼 공격자가 악성 랜딩 페이지로 유도하는 통로로 자주 악용된다. 과거에도 가짜 광고나 위조된 다운로드 페이지를 통해 맬웨어를 배포하는 사례가 반복적으로 보고됐다. 이번 사례에서 특이한 점은 클라우드 기반 대화 서비스의 ‘공유 채팅’ 기능이 정상적인 출처처럼 보이도록 악용됐다는 점이다. 클로드의 공유 채팅은 본래 공개적인 설치 안내나 코드 스니펫을 공유하는 용도로 설계돼 있어 사용자 신뢰를 확보하기 쉽다.
보안업계는 개발자와 일반 이용자 모두 터미널 명령을 복사해 붙여넣기 실행하는 관행이 위험하다고 지적한다. 명령어 실행은 시스템 수준 작업을 수행할 수 있어, 출처가 불명확한 스니펫은 즉시 악성 행위를 초래할 수 있다. 또한 광고 검증과 플랫폼 내 공유 콘텐츠의 모니터링은 전통적 웹사이트 차단만으로는 해결되기 어려운 과제다. 이해관계자는 플랫폼 제공자, 광고 네트워크, 보안업체, 이용자 모두다.
주요 사건 전개
첫 보고자는 트렌디욜(Trendyol) 그룹 소속 보안 엔지니어로, 검색 광고 결과로 표시된 링크가 클로드의 공유 채팅으로 연결되는 정황을 발견해 5월 10일 공개했다. 광고는 외형상 정상 클로드 주소를 가리켰으나, 실제로는 공격자가 만든 공유 채팅의 설치 안내가 포함돼 있었다. 안내문은 ‘애플 지원’처럼 보이는 표현으로 신뢰를 유도했고, 이용자는 이를 공식 안내로 오인하기 쉬운 형태였다.
이후 추가 조사에서 공격자는 별도 인프라를 활용한 두 번째 공유 채팅 사례도 운영한 것으로 확인됐다. 두 사례는 서로 다른 도메인과 페이로드를 사용했지만, 모두 터미널 명령 복사·붙여넣기를 유도해 악성 스크립트를 실행하도록 설계됐다. 공격 방식은 기존의 가짜 랜딩 페이지를 이용한 수법과 달리 플랫폼 내부 공유 기능을 악용했다는 점에서 방어 난이도가 높다.
마이크로소프트의 5월 6일 분석에 따르면, 공격자는 가짜 맥OS 유틸리티 설치 안내를 통해 클릭픽스(click‑to‑fix) 형태의 사회공학을 활용했고, 이 명령은 맥싱크, 슈브 스틸러, AMOS 등 정보탈취형 악성코드를 내려받도록 유도했다. 이러한 악성코드는 키체인 항목, 아이클라우드 데이터, 가상자산 지갑 키, 브라우저 저장 비밀번호 등 민감정보를 노릴 수 있다. 보안업계는 복수의 사례와 날짜를 바탕으로 캠페인의 지속 가능성을 우려하고 있다.
분석 및 의미
첫째, 플랫폼 신뢰성의 허점이 공격 표면을 확장했다. 클라우드 기반 협업·공유 기능은 본래 개발자 문서나 코드 스니펫을 공유하는 용도로 편리하지만, 공격자는 이를 ‘정상 출처’로 둔갑시켜 사용자의 경계심을 낮출 수 있다. 검색 광고와 결합되면 탐지와 차단이 더욱 어려워진다.
둘째, 경제적·사회적 피해 가능성이 크다. 맥 대상 정보탈취형 악성코드는 개인의 금융·프라이버시 자산에 직접적인 손실을 초래할 수 있으며, 기업 환경에서는 계정 탈취로 인한 내부 정보 유출 등 2차 피해로 연결될 위험이 있다. 특히 개발자나 관리자 권한을 가진 계정이 타깃이 되면 파급효과가 확대된다.
셋째, 기술적 대응과 사용자 교육이 병행돼야 한다. 플랫폼 사업자는 공유 기능에 대한 자동화 모니터링과 출처 검증을 강화해야 하며, 광고 플랫폼은 랜딩 URL과 표시명 불일치 여부를 심사할 필요가 있다. 이용자 측면에서는 터미널 명령 실행 전 출처 검증, 권한 상승 요청 시 재확인, 공식 문서의 해시·서명 검증 등의 습관을 권고한다.
비교 및 데이터
| 날짜 | 발견자/출처 | 대상 OS | 수단/악성코드 |
|---|---|---|---|
| 2024-05-10 | 트렌디욜 보안 엔지니어(보고) | macOS | 클로드 공유 채팅 유도 → 악성 스크립트 |
| 2024-05-06 | 마이크로소프트(분석) | macOS | 가짜 유틸리티 안내 → 맥싱크·슈브·AMOS |
| 2024-03-11 | 비트디펜더(보고) | Windows, macOS | 가짜 ‘클로드 코드’ 광고 → 윈도/맥 악성 행위 |
| 2024-04-16 | 7AI(보고) | Windows, macOS | 개발자 환경 노린 가짜 랜딩 페이지 |
위 표는 공개된 보고서와 보안업체 분석을 취합한 요약이다. 날짜와 출처는 각 보안업체의 보고일을 기준으로 기재했으며, 동일한 수법이 몇 차례 반복된 점에서 캠페인이 복수 주체 또는 장기적 운영일 가능성을 시사한다.
반응 및 인용
사건 공개 직후 보안업계와 플랫폼 사업자의 반응은 경계 강화와 사용자 주의 환기 중심이었다. 아래 인용은 각 주체의 핵심 입장을 간략히 전달한다.
“공유 기능은 편리하지만, 외부에서 복사해온 명령어를 그대로 실행하는 행위는 매우 위험하다.”
트렌디욜 소속 보안 엔지니어(보고자)
해당 보안 엔지니어는 최초 발견 후 플랫폼과 광고주에 문제를 보고했고, 추가 사례 확인 과정에서 유사 채팅을 더 발견했다고 설명했다. 그는 이용자에게 공식 문서·다운로드 페이지 검증을 권고했다.
“우리는 가짜 설치 안내가 정보탈취형 페이로드를 유포하는 것을 관찰했다. 사용자 권한 상승을 요구하는 명령어는 특히 주의해야 한다.”
마이크로소프트 보안팀(분석 보고서)
마이크로소프트는 자체 분석에서 특정 페이로드가 키체인·아이클라우드·브라우저 저장정보 등 민감 데이터를 탈취할 수 있음을 지적했다. 권장 방어책으로는 공식 소프트웨어 경로 이용과 의심스러운 명령 검증을 제시했다.
불확실한 부분
- 공격의 전체 배후: 공개된 보고서는 여러 사례를 제시했으나, 동일 공격자가 연관된지 여부는 추가 조사 필요하다.
- 감염 규묘: 현재까지 확인된 사례 수와 실제 피해 발생 건수는 공개 자료만으로는 정확히 파악되지 않는다.
- 광고 승인 경로: 어떤 광고 네트워크·광고주 계정이 이용됐는지에 대한 구체적 정보는 아직 공개로 확인되지 않았다.
총평
이번 사례는 플랫폼의 ‘신뢰 가능한 UI’가 역으로 악용될 수 있음을 보여준다. 클라우드 기반 공유 기능과 검색 광고의 결합은 이용자에게 정상 출처로 오인될 만한 환경을 만들며, 단순한 링크 차단만으로는 대응하기 어렵다. 따라서 플랫폼 사업자는 공유 기능에 대한 출처 검증과 광고 심사를 강화하고, 광고 플랫폼은 광고의 표시명·실제 URL 일치 여부를 엄격히 점검해야 한다.
이용자는 터미널 명령 실행 전에 반드시 출처를 확인하고, 공식 다운로드 페이지나 문서를 통해 설치하는 습관을 가져야 한다. 보안 담당자와 관리자들은 개발자 계정·키체인·암호화된 자격증명에 대한 모니터링을 강화하고, 의심스러운 활동에 대한 신속한 대응 계획을 마련해야 한다. 향후 유사 공격의 재발을 막기 위해서는 플랫폼·광고사·보안업체의 협력과 이용자 교육이 병행돼야 한다.