2026년 현재, 클릭픽스 피싱 공격자들이 윈도우즈 터미널을 악용해 보안 방어를 우회하고 있습니다. 직원을 노리는 새로운 전술과 이에 대한 마이크로소프트의 경고 및 대응 방안을 상세히 다룹니다.
2026년 진화하는 클릭픽스 피싱 공격의 서막
2026년 현재, 마이크로소프트는 직원들을 노리는 클릭픽스(ClickFix) 피싱 공격이 새로운 전술로 진화하고 있다고 경고했습니다. 기존의 ‘Windows + R’ 단축키를 이용한 ‘실행’ 대화상자 악용 방식에서 벗어나, 이제 공격자들은 ‘Windows + X’ 다음에 ‘I’를 눌러 ‘Windows 터미널(wt.exe)’을 직접 실행하도록 유도합니다. 이 새로운 접근 방식은 기존 보안 방어와 직원 교육을 우회하며, 기업 보안에 심각한 위협을 가하고 있습니다.
윈도우즈 터미널을 악용한 정교한 수법
공격자들은 가짜 CAPTCHA 페이지, 문제 해결 프롬프트, 또는 일반적인 확인 절차처럼 보이는 미끼를 사용해 피해자가 악성 PowerShell 명령어를 윈도우즈 터미널에 붙여넣도록 유도합니다. 이는 겉보기에는 일상적인 작업처럼 느껴지게 하여 피해자의 경계심을 낮춥니다. ‘Windows + R’ 명령을 감시하는 방어 체계를 회피하고, 해당 명령 사용을 금지하는 기존 보안 인식 교육도 무력화시키는 효과적인 전략입니다. 마이크로소프트는 이러한 변화가 특히 주목할 만하다고 강조합니다.
침해 후 다양한 공격 경로 분석
마이크로소프트는 이번 캠페인에서 발견된 두 가지 주요 침해 후 공격 경로를 설명했습니다. 첫 번째 경로에서는 여러 개의 윈도우즈 터미널/PowerShell 인스턴스가 실행되어 임베디드 16진수 명령어를 디코딩하는 또 다른 PowerShell 프로세스를 시작합니다. 디코딩된 스크립트는 이름이 변경된 합법적인 7-Zip 바이너리와 압축된 페이로드를 다운로드합니다. 이후 멀웨어가 실행되어 추가 페이로드 검색, 예약 작업을 통한 영구성 확보, Microsoft Defender 예외 설정을 통한 방어 우회, 그리고 기기 및 네트워크 데이터 유출을 포함하는 다단계 공격이 진행됩니다.
LOLBin 악용과 Etherhiding 기술
두 번째 공격 경로는 피해자가 16진수로 인코딩되고 XOR로 압축된 명령어를 윈도우즈 터미널에 붙여넣는 것으로 시작됩니다. 이 명령은 AppDataLocal에 무작위 이름의 배치 파일을 다운로드한 후 cmd.exe를 통해 VBScript를 %Temp%에 작성하도록 합니다. 배치 스크립트는 cmd.exe의 ‘/launched’ 명령줄 인수를 통해 실행된 후 MSBuild.exe를 통해 다시 실행되어 LOLBin(Living Off the Land Binaries) 악용으로 이어집니다. 이 스크립트는 Crypto Blockchain RPC 엔드포인트에 연결하여 Etherhiding 기술을 사용하고, chrome.exe 및 msedge.exe 프로세스에 QueueUserAPC() 기반 코드 인젝션을 수행하여 웹 및 로그인 데이터를 수집합니다.
과연 새로운 전술인가 전문가들의 시선
마이크로소프트의 발표 직후, 많은 보안 전문가들은 ‘Windows + X’ 전술이 완전히 새로운 것은 아니라고 지적했습니다. KnowBe4의 CISO 고문인 로저 그라임스(Roger Grimes)는 “Win+R 대신 Win+X를 사용하는 클릭픽스 공격은 최소 6개월, 길게는 1년 이상 지속되어 왔다”고 밝혔습니다. 그러나 그는 클릭픽스 공격의 지속적이고 증가하는 사용량은 정보 보안 리더들이 직원들에게 이에 대해 교육해야 할 필요성을 다시 한번 강조한다고 덧붙였습니다. 중요한 것은 공격의 신규성보다는 그 위험성과 지속적인 확산입니다.
CISO를 위한 필수 보안 지침
로저 그라임스에 따르면, 합법적인 소프트웨어는 ‘Windows + (어떤 키)’를 눌러 임의의 코드를 붙여넣고 실행하도록 요구하지 않습니다. 이러한 요청은 절대 수행해서는 안 됩니다. 모든 윈도우즈 컴퓨터는 조직에서 서명하지 않은 임의의 PowerShell 명령이 허용되지 않도록 제한되어야 합니다. 모든 조직과 기기에는 ‘Set-ExecutionPolicy Restricted -Force’ PowerShell 명령 설정이 이미 활성화되어 있어야 합니다. 이 설정이 없다면, 조직의 사이버 보안 위험은 불필요하게 높은 수준이 됩니다.
더욱 견고해진 페이로드 체인과 방어 회피
Swimlane의 수석 보안 솔루션 아키텍트인 조슈아 로박(Joshua Roback)은 마이크로소프트가 설명한 캠페인이 클릭픽스 플레이북을 더욱 신뢰받는 일상적인 워크플로우로 확장한다고 강조했습니다. 사용자가 합법적인 윈도우즈 도구 내에서 붙여넣기된 명령 콘텐츠를 실행하도록 유도함으로써, 이는 익숙하고 안전하다고 느껴지게 합니다. 이로 인해 사람들의 일반적인 의심을 피하고, 보안 팀이 더 명확한 클릭픽스 패턴에 맞춰 조정한 일부 제어 및 탐지 기능도 회피할 수 있습니다. 페이로드 체인 역시 이전 변형보다 훨씬 견고하게 구축되었습니다.
지속적인 위협에 대한 명확한 대응 전략
조슈아 로박은 이번 공격이 한 번의 빠른 검색이 아닌, 더 계층화된 전달 및 지속성 접근 방식을 사용하여 잠복 기간을 늘리고 조용히 피해를 확대한다고 설명했습니다. 한 경로는 공격자 인프라가 잘 숨겨지고 접근성을 유지하도록 돕는 추가적인 간접 레이어를 추가하여, 공격 차단 및 직접적인 봉쇄를 덜 효과적으로 만들 수 있습니다. CISO는 직원들에게 명확한 지침을 전달해야 합니다. “간단한 원칙을 따르세요: 붙여넣기된 명령을 절대 실행하지 말고, 예기치 않은 로그인 승인을 하지 말며, 모든 사고는 공식 회사 지원 채널을 통해 보고하십시오.”
클릭픽스 공격의 시작과 방어 요령
클릭픽스 피싱 캠페인은 2024년에 시작되었으며, 마이크로소프트는 작년에 관련 전술과 침해 지표를 상세히 설명하는 보안 블로그 게시물을 발표했습니다. 공격은 일반적으로 결제 또는 인보이스 테마의 이메일이나 문자 메시지 내 링크 클릭 또는 첨부 파일 열기에서 시작됩니다. 이후 팝업 상자에서 ‘다운로드 확인’을 위해 실행 대화상자를 열고 특정 내용을 복사하여 붙여넣도록 안내합니다. 이 공격의 목표는 LummaStealer와 같은 정보 탈취 악성코드, Xworm, AsyncRAT, NetSupport, SectopRAT와 같은 원격 액세스 도구, Latrodectus, MintsLoader와 같은 로더, 그리고 루트킷 등을 다운로드하도록 유도하는 것입니다.
마이크로소프트의 권고 사항
마이크로소프트는 클릭픽스 공격에 맞서는 방어자들을 위한 팁을 제공합니다. 특히, PowerShell 스크립트 블록 로깅을 활성화하여 난독화되거나 인코딩된 명령을 탐지하고 분석할 것을 권장합니다. 이는 전통적인 로깅으로는 탐지하기 어려울 수 있는 악성 스크립트 실행에 대한 가시성을 제공하여 보안 팀이 위협을 효과적으로 식별하고 대응할 수 있도록 돕습니다. 지속적인 교육과 기술적 방어는 2026년에도 필수적인 요소입니다.
