카시 파텔 ‘Based Apparel’ 사이트가 해킹 후 오프라인된 이유

가짜 Cloudflare 인증 페이지의 함정

분석에 따르면 해킹된 사이트는 Cloudflare 보안 인증 화면처럼 보이는 페이지를 표시했다. Cloudflare는 웹사이트가 봇이나 공격 트래픽을 차단할 때 자주 사용하는 보안 서비스다.

하지만 이 경우 페이지는 조작돼 있었고 방문자에게 다음과 같은 메시지를 보여줬다.

• “사용자의 IP가 비정상적인 웹 활동으로 표시됐다”는 경고
• 계속 진행하려면 화면에 표시된 코드를 복사해 컴퓨터 터미널에 붙여넣으라는 안내

이 단계가 바로 공격의 핵심이었다. 사용자가 명령을 실행하면 컴퓨터에 악성코드가 설치되는 방식이었다.

이 수법은 보안 업계에서 ‘ClickFix’ 공격이라고 불리는 사회공학 기법과 유사하다. 정상적인 보안 확인 절차처럼 보이게 만들어 사용자가 직접 악성 명령을 실행하도록 속이는 방식이다.

인포스틸러 악성코드는 무엇을 노리나

이번 사건에서 배포된 것으로 의심되는 인포스틸러는 감염된 기기에서 다음과 같은 데이터를 몰래 수집하는 데 초점을 맞춘다.

• 로그인 계정과 비밀번호
• 브라우저 쿠키
• 자동완성에 저장된 개인정보
• 일부 경우 암호화폐 지갑 정보

이렇게 수집된 데이터는 공격자에게 전송된 뒤 추가 공격이나 암시장 판매 등에 이용될 수 있다.

같은 주에 드러난 또 다른 보안 문제

흥미로운 점은 이 사건이 같은 주에 발생한 또 다른 보안 사고와 함께 보도됐다는 것이다. 다만 두 사건은 직접적인 관련은 없는 별개의 문제다.

트럼프 브랜드 이동통신 서비스 Trump Mobile은 고객 데이터가 인터넷에서 공개 상태로 노출됐다는 사실을 확인했다. 노출된 정보에는 다음이 포함됐다.

• 이름
• 이메일 주소
• 우편 주소
• 전화번호
• 주문 식별자

회사 측은 현재 조사 중이며 금융 정보 유출 증거는 발견되지 않았다고 밝혔다.

두 사건의 성격은 서로 다르다.

• Based Apparel: 웹사이트가 해킹돼 방문자에게 악성코드를 배포하려 한 사례
• Trump Mobile: 고객 데이터가 온라인에서 접근 가능한 상태로 노출된 사례

하지만 두 사건 모두 유명 정치 인물과 연결된 소비자 서비스에서 보안 관리에 대한 우려를 불러일으켰다는 점에서 동시에 주목을 받았다.

왜 사이트를 내려야 했나

웹사이트가 해킹된 사실이 확인되면 운영자가 사이트를 일시적으로 오프라인으로 전환하는 것은 흔한 대응 방식이다. 이는 다음과 같은 목적 때문이다.

• 추가 방문자가 악성코드에 노출되는 것을 방지
• 공격자가 어떻게 접근했는지 조사
• 악성 코드 제거 후 안전하게 복구

초기 보도 시점 기준으로 Based Apparel 사이트는 문제 해결을 위해 계속 오프라인 상태로 유지되고 있었다.

핵심 교훈: 기술보다 사람을 노리는 공격

이번 사건에서 특히 눈에 띄는 점은 취약한 소프트웨어가 아니라 사람을 노린 공격 방식이었다는 점이다.

브라우저 취약점을 자동으로 악용하는 대신, 공격자는 사용자가 스스로 명령을 실행하도록 설득했다. 사용자가 직접 실행하면 보안 시스템이 이를 정상 활동으로 인식할 가능성이 높기 때문이다.

이 사례는 우리가 흔히 보는 CAPTCHA나 보안 인증 화면조차도 정교한 피싱 및 악성코드 캠페인에 악용될 수 있다는 점을 보여준다.