러시아 국적의 해킹 조직인 Star Blizzard(ColdRiver)가 가짜 CAPTCHA 테스트를 활용해 새로운 악성코드 계열을 배포하고 있습니다. 이들은 정부 기관, 언론사, 비정부기구(NGO) 등을 대상으로 정교한 사회공학 기법을 구사합니다.

해당 공격은 ‘ClickFix’라고 불리는 방식으로 진행됩니다. 사용자가 “로봇이 아닙니다”라는 확인 버튼을 클릭하면, 실제로는 NoRobot이라는 악성코드가 몰래 설치되어 컴퓨터에 침투합니다. 이 과정에서 레지스트리 변경과 예약 작업 등록을 통해 시스템에 지속적으로 남습니다.

이 악성코드 사슬에는 NoRobot, YesRobot, MaybeRobot 세 가지 도구가 등장합니다. NoRobot은 1단계 진입점으로 파일 다운로드 및 환경 설정을 담당합니다. 초기 테스트용으로 사용되던 Python 기반의 YesRobot은 곧 탐지를 피하기 위해 포기되었습니다. 이후 PowerShell 기반의 MaybeRobot이 새롭게 투입되어 추가 페이로드 실행, 명령어 실행, 데이터 탈취 기능을 수행합니다.

해킹 조직은 끊임없이 전술을 수정합니다. 암호화 키를 여러 파일로 분할하거나 배포 방식을 단순화했다가 다시 복잡하게 조정하면서 보안 연구자들이 분석하기 어렵게 만듭니다. 이러한 변화 속도는 며칠 내에 이뤄질 정도로 빠릅니다.

ColdRiver의 활동은 러시아 연방 보안국(FSB)과 연계된 것으로 알려져 있습니다. 이들은 서방 정부, 싱크탱크, 언론사, 인권단체 등을 꾸준히 표적으로 삼아 민감한 정보를 훔치고 전략적 우위를 확보하려고 시도합니다.

이런 공격은 일반 사용자에게도 위협이 됩니다. 예상치 못한 팝업이나 낯선 사이트의 CAPTCHA 테스트를 접하면 즉시 중단하고 주소(URL)를 확인해야 합니다. 실제 CAPTCHA는 신뢰할 수 있는 사이트에서만 나타나므로, 의심이 들면 브라우저 창을 닫고 나중에 다시 접속하는 것이 안전합니다.

예방을 위해서는 강력한 백신 프로그램을 사용하고 자동 업데이트를 활성화해야 합니다. 백신의 행동 기반 탐지 기능이 새로운 변종을 막는 데 도움이 됩니다. 또한 개인 정보를 수집하는 사이트를 차단하거나 삭제해주는 서비스, 다중 인증(MFA) 도입, 정기적인 소프트웨어 및 운영체제 업데이트, 그리고 중요한 데이터의 외부 드라이브 및 클라우드 백업을 권장합니다.

사이버 위협은 날로 정교해지고 있습니다. 작은 의심에도 주의를 기울이고, 평소 보안 수칙을 철저히 지키면 가짜 CAPTCHA 뒤에 숨은 악성코드로부터 자신과 조직의 정보를 지킬 수 있습니다.