2025년 03월 18일

깃허브 가짜 보안 경고 주의보

Tech

Share

by

깃허브 개발자 노리는 가짜 보안 경고 주의보: 클릭픽스 캠페인 심각

최근 깃허브 개발자를 대상으로 한 정교한 피싱 캠페인, 일명 ‘클릭픽스(Click-fix)’ 캠페인이 기승을 부리고 있어 각별한 주의가 요구됩니다. 이 캠페인은 가짜 ‘보안 경고’를 미끼로 사용자를 속여 악성 OAuth 애플리케이션을 승인하도록 유도하는 방식으로, 성공할 경우 공격자는 피해자 계정과 코드에 대한 완전한 접근 권한을 확보할 수 있습니다. 현재까지 1만 2,000개 이상의 깃허브 리포지토리가 이 캠페인의 표적이 된 것으로 알려져 심각성을 더하고 있습니다.

가짜 보안 경고의 등장

사이버보안 연구원 Luc4m은 X (구 트위터)를 통해 이 캠페인에 사용된 가짜 보안 경고를 처음으로 공개했습니다. 그는 해당 캠페인이 단 몇 분 만에 4,000회 가까이 시도되었다고 밝히며 공격의 규모와 속도에 대한 경각심을 불러일으켰습니다. 가짜 경고 메시지는 "보안 경고: 비정상적인 액세스 시도"라는 제목으로, "새로운 위치 또는 기기에서 깃허브 계정에 로그인하려는 시도가 감지되었습니다"라는 내용을 담고 있습니다. 이는 사용자의 불안감을 자극하여 다음 단계로 넘어가도록 유도하는 전형적인 피싱 수법입니다.

교묘한 속임수: 비밀번호 및 2FA 업데이트 유도

가짜 보안 경고는 사용자를 안심시키기 위해 계정 보호를 위한 여러 단계를 제시합니다. "이 활동이 본인의 것이라면 추가 조치가 필요하지 않습니다. 그러나 본인이 아닐 경우, 즉시 계정을 보호할 것을 강력히 권장합니다"라는 문구를 사용하여 사용자가 스스로 보안 조치를 취하도록 유도합니다. 경고는 사용자가 비밀번호 업데이트, 활성 세션 검토 및 관리, 2FA (이중 인증) 활성화를 수행하도록 권장하지만, 실제로는 이 모든 옵션이 ‘gitsecurityapp’이라는 악성 OAuth 애플리케이션의 깃허브 승인 페이지로 연결됩니다.

‘gitsecurityapp’의 위험한 권한 요구

‘gitsecurityapp’은 깃허브 사용자에게 공개 및 비공개 리포지토리 접근 및 삭제, 사용자 프로필 읽기 및 수정, 조직 멤버십 및 프로젝트 조회, 깃허브 지스트 접근 등 매우 민감한 권한을 요구합니다. 만약 사용자가 무심코 이 애플리케이션을 승인한다면, 공격자는 깃허브 계정을 완전히 장악하고 코드를 변경하거나 삭제하는 등 심각한 피해를 입힐 수 있습니다. 특히 기업이나 단체의 경우, 코드 유출이나 시스템 마비로 이어질 수 있어 더욱 주의해야 합니다.

배후 세력은 누구인가? 북한 연계 가능성 제기

Luc4m은 이번 공격이 국가 지원 해킹 그룹과 관련되었을 가능성을 제기하며 "DPRK(북한) 냄새가 난다"라고 언급했습니다. 구체적인 증거는 제시되지 않았지만, 북한은 과거에도 클릭픽스 공격을 사이버 첩보 활동에 활용한 사례가 있습니다. 대표적인 예로 ‘컨태이저스 인터뷰(Contagious Interview)’ 캠페인이 있으며, 깃허브의 가짜 보안 경고에는 모두 동일한 로그인 정보(위치: 아이슬란드 레이캬비크, IP 주소: 53.253.117.8, 기기: 미확인)가 포함되어 있다는 점도 이러한 의혹을 뒷받침합니다.

침해 지표 및 주의사항

보안 강화를 위해 Luc4m은 다음과 같은 침해 지표를 공유했습니다. 깃허브 계정: hishamaboshami, 애플리케이션 ID: Ov23liQMsIZN6BD8RTZZ. 또한, 가짜 ‘보안 애플리케이션’은 웹 애플리케이션 호스팅 플랫폼인 렌더(Render)를 이용하여 배포되었으며, 캠페인에 사용된 URL은 ‘s://github-com-auth-secure-access-token.onrender.com’입니다. 깃허브 사용자들은 이러한 정보를 숙지하고 유사한 피싱 시도에 주의해야 합니다. 의심스러운 보안 경고를 받거나, 출처가 불분명한 OAuth 애플리케이션의 승인 요청을 받는 경우, 반드시 신중하게 검토하고 승인을 보류해야 합니다.

맺음말

깃허브를 사용하는 개발자들은 이번 클릭픽스 캠페인의 위험성을 인지하고, 평소 보안 수칙을 철저히 준수하여 피해를 예방해야 합니다. 의심스러운 링크나 첨부 파일을 클릭하지 않고, 2FA를 활성화하며, 깃허브 계정 활동을 주기적으로 검토하는 것이 중요합니다. 또한, 유사한 공격 사례가 발생할 경우, 즉시 관련 기관에 신고하여 추가적인 피해 확산을 막아야 합니다.

You may also like...