클릭픽스 사회공학적 공격이 진화한 3가지 악성 로더: BabaDeda, Lorem Ipsum, Potemkin

최근 클릭픽스(ClickFix)라는 사회공학적 공격 캠페인이 새로운 형태의 악성 로더를 활용해 공격 범위를 넓히고 있다는 경고가 Cybersecurity 분야에서 잇따르고 있다. BabaDeda Loader, Lorem Ipsum Loader, Potemkin이라는 세 가지 악성 로더가 각각 독립적인 보안 연구 기관에 의해 확인되었으며, 특히 BabaDeda Loader의 경우 2026년 4월부터 교육 및 금융 기관을 대상으로 한 공격이 본격화되었다. 과거 Morphisec, BlueVoyant, Huntress 등에서 발표한 보고서에 따르면, 이러한 로더들은 기존의 은폐형 설치 패키지에서 한 단계 진화해, stealth(은닉), evasion(회피), payload flexibility(페이로드 유연성)를 극대화하는 형태로 재설계되었다. 이 과정에서 공격자들은 PowerShell 명령을 위장한 사회공학적 기법으로 사용자를 속여 로더를 설치하도록 유도하고, 이후 정보 탈취 도구나 원격 접근 트로이목마(RAT)를 투입하는 방식으로 공격 체인을 구축하고 있다.

클릭픽스 공격은 처음부터 사용자의 주의력을 악용하는 데 중점을 둔다. 공격자들은 사용자에게 ‘ClickFix’라는 이름의 가짜 업데이트나 시스템 최적화 도구로 위장한 파일을 제공하고, 이를 실행하도록 유도한다. 이 과정에서 PowerShell 명령을 숨기거나, 메모리 내 쉘코드 실행, DLL 사이드 로딩, 외부 저장소 기반 페이로드 호출 등 기존 보안 솔루션을 우회할 수 있는 다양한 기술이 결합된다. 특히 BabaDeda Loader는 시스템 프로파일링을 수행하여 러시아 또는 벨라루스에서 실행 중인 시스템에서는 공격을 중단하는 지역 제한 기능까지 탑재하고 있는 것으로 확인되었다. 또한 보안 제품 관련 프로세스를 점검한 후 신뢰할 수 있는 Windows 프로세스인 ‘svchost.exe’에 악성 코드를 주입하는 방식으로 감지 확률을 낮추고 있다.

BabaDeda Loader는 2021년 11월에 처음 문서화된 바 있으며, 당시에는 주로 암호화폐 및 Web3 sectors를 겨냥한 정보 탈취 도구와 LockBit 랜섬웨어를 배포하는 데 사용되었다. 그러나 2026년을 기점으로 BabaDeda는 보다 정교한 로더 프레임워크로 진화했으며, 이는 단순히 페이로드를 은폐하는 수준을 넘어, 시스템 내에서의 장기적인 활동과 데이터 탈취를 위한 기반을 마련하는 데 초점이 맞춰져 있다. BabaDeda를 통해 배포되는 악성 코드 중 하나는 .NET 기반 백도어 및 정보 탈취 도구로, 이 도구는 민감한 데이터를 수집하고 암호화된 명령 및 제어(C2) 서버와의 통신을 설정할 수 있는 광범위한 기능을 갖추고 있다. 또한 DanaBot 및 SectopRAT(또는 ArechClient)로 알려진 또 다른 악성 코드군은 ZIP 아카이브를 통해 전달되며, DLL 사이드 로딩을 통해 로더가 동작하는 방식으로 설계되었다. 이러한 공격의 특징 중 하나는 Storage Crypter라는 중간 로더가 외부 저장소(예: ‘List.Control.dat’ 파일)에서 페이로드를 읽어들이는 방식으로, 악성 코드가 실행 직전까지 은폐되어 전통적인 보안 솔루션의 탐지 기회를 최소화한다는 점이다.

Lorem Ipsum Loader와 Potemkin의 경우에도 유사한 공격 패턴이 확인되고 있으며, 이들은 각각 BlueVoyant와 Huntress에 의해 추적되고 있다. Lorem Ipsum Loader는 이름에서 알 수 있듯이, 가짜 업데이트 메시지에 ‘Lorem ipsum’과 같은 무의미한 텍스트를 삽입하여 사용자의 의심을 줄이는 데 초점을 맞추고 있는 것으로 보인다. 반면 Potemkin은Windows 시스템의 핵심 프로세스를 모방하는 방식으로, 정품처럼 보이는 프로세스를 생성하여 보안 솔루션의 탐지를 회피하는 데 특화되어 있다. 이러한 로더들은 모두 클릭픽스 캠페인의 일환으로 활용되며, 사용자의 클릭 한 번으로 악성 코드가 시스템 내로 침투할 수 있도록 설계되었다. 특히 Potemkin의 경우, 러시아어 또는 벨라루스어 시스템에서만 동작을 멈추는 지역 제한 기능이 확인되지 않으며, 전 세계적으로 무차별적인 공격을 수행할 가능성이 제기되고 있다.

이러한 새로운 악성 로더들의 등장은 기존 보안 체계를 위협하는 주요 요인으로 부상하고 있다. BabaDeda, Lorem Ipsum, Potemkin 등은 단순히 악성 코드를 은폐하는 수준을 넘어, 시스템 프로파일링, 지역 제한, 외부 저장소 기반 페이로드 호출 등 다층적인 회피 기술을 결합하여 보안 솔루션의 탐지 한계를 극복하고 있다. 특히 BabaDeda Loader의 경우, 2021년 이후 꾸준히 진화해 온 역사가 있으며, 초기에는 암호화폐 및 Web3 sectors를 겨냥했지만, 최근에는 교육 및 금융 기관으로 그 타겟을 넓히고 있는 것으로 확인되었다. 이러한 변화는 공격자들이 보다 광범위한 산업 분야에서 시스템을 장악하고 데이터를 탈취할 수 있는 기반을 마련했다는 점을 시사한다.

또한 이러한 공격들은 전통적인 보안 솔루션에 대한 도전 과제를 제기하고 있다. 기존의 안티바이러스(AV)나 엔드포인트 탐지 및 대응(EDR) 솔루션은 메모리 내 실행이나 DLL 사이드 로딩과 같은 기법에 취약한 경우가 많으며, 특히 외부 저장소에서 페이로드를 호출하는 방식은 정적 분석만으로는 탐지하기 어려운 구조를 가지고 있다. 보안 연구 기관들은 이러한 새로운 위협에 대응하기 위해 동적 분석(dynamic analysis)과 메모리 포렌식(memory forensics) 기법을 강화할 필요가 있으며, 특히 PowerShell 명령어나 시스템 프로세스 변조와 같은 행위를 실시간으로 모니터링할 수 있는 솔루션의 도입이 시급하다고 지적하고 있다.

사용자 입장에서도 이러한 공격에 대한 인식이 중요해졌다. 클릭픽스와 같은 사회공학적 공격은 사용자의 주의력과 호기심을 악용하는 경우가 많기 때문에, 특히Unknown sender(알 수 없는 발신자)로부터 온 파일이나 링크, 또는 예상치 못한 시스템 업데이트 알림에 대해서는 신중을 기할 필요가 있다. 또한 PowerShell 명령을 포함한 스크립트 파일이나, ZIP 파일 내부의 DLL 파일이 의심스러운 경우, 즉시 실행을 중단하고 보안 담당자에게 보고해야 한다. 기업의 경우, 엔드포인트 보안 솔루션의 업데이트뿐 아니라, 직원들에 대한 지속적인 보안 교육과 피싱 시뮬레이션 훈련을 통해 이러한 위협에 대한 대응력을 높이는 것이 중요하다.

보안 업계에서도 이러한 새로운 위협에 대응하기 위한 노력이 진행되고 있다. BabaDeda Loader와 같은 로더는 크립터(crypter) 서비스와 결합되어 사용되며, 이는 악성 코드를 암호화하고 은폐하는 데 특화된 서비스이다. 이러한 서비스는 과거에도 LockBit 랜섬웨어와 같은 고위험 악성 코드 배포에 활용되었지만, 최근에는 보다 정교한 로더 프레임워크로 진화하면서 그 위험성이 배가되고 있다. 보안 연구자들은 이러한 크립터 서비스와 로더 간의 연관성을 분석하고, 새로운 공격 패턴을 조기에 탐지할 수 있는 AI 기반 탐지 솔루션의 개발에 주력하고 있다.

한편, 이러한 공격이 교육 및 금융 기관을 겨냥한 이유는 해당 산업이 민감한 개인 정보와 금융 데이터를 다수 보유하고 있기 때문이다. BabaDeda Loader를 통한 공격은 특히 시스템 내에서의 장기적인 활동과 데이터 탈취를 목적으로 하고 있으며, 이는 공격자들이 이러한 데이터를 악용하거나 블랙마켓에서 판매할 가능성이 높다는 점을 시사한다. 금융 기관의 경우, 랜섬웨어 공격을 통한 금전적 이득을 노리는 공격자들과의 전쟁이 지속되고 있으며, 교육 기관 또한 학생 및 교직원의 개인 정보가 타겟이 되고 있는 실정이다.

이러한 위협이 지속됨에 따라, 보안 업체들은 새로운 탐지 기법과 대응 전략을 개발하고 있다. 특히 메모리 포렌식과 동적 분석을 결합한 솔루션들은 악성 코드가 메모리 내에서 실행되기 직전까지 탐지할 수 있는 가능성을 제시하고 있으며, AI 기반의 이상 탐지(AI-based anomaly detection) 시스템은 정상적인 시스템 동작 패턴과 악성 행위를 구분하는 데 도움을 주고 있다. 또한, 클라우드 기반 보안 솔루션과 엔드포인트 보안의 통합 역시 이러한 위협에 대응하기 위한 핵심 전략으로 부상하고 있다.

사용자 및 기업이 취할 수 있는 실질적인 조치도 있다. 우선, 시스템 및 소프트웨어는 항상 최신 상태로 유지해야 하며, 특히 Adobe Reader, Microsoft Office, 웹 브라우저와 같은 주요 소프트웨어의 보안 패치를 신속히 적용하는 것이 중요하다. 또한, 사용자 계정의 권한을 최소화하고, 관리자 권한이 필요한 작업은 신중히 수행해야 한다. PowerShell이나 명령 프롬프트와 같은 스크립트 도구는 불필요한 경우 사용을 제한하는 것이 바람직하며, 특히 외부 저장소에서 페이로드를 호출하는 방식은 엄격한 접근 제어 정책을 통해 차단해야 한다.

보안 솔루션의 선택 또한 중요하다. 전통적인 안티바이러스 솔루션만으로는 이러한 새로운 위협을 탐지하기 어려운 경우가 많으며, 엔드포인트 탐지 및 대응(EDR) 솔루션이나 네트워크 기반 탐지(NTA) 솔루션을 함께 활용하는 것이 바람직하다. 또한, AI 기반의 위협 탐지 솔루션은 정상적인 시스템 동작 패턴과 악성 행위를 실시간으로 분석하여 이상 징후를 조기에 탐지할 수 있는 장점이 있다. 특히 메모리 포렌식 기능을 탑재한 솔루션은 악성 코드가 메모리 내에서 실행되기 직전까지 탐지할 수 있어, 보다 신속한 대응이 가능하다.

마지막으로, 보안 사고 발생 시 신속한 대응과 복구가 무엇보다 중요하다. 공격이 탐지된 경우, 즉시 네트워크 연결을 끊고, 악성 코드가 설치된 시스템을 격리한 후, 포렌식 분석을 수행하여 공격 경로와 피해 범위를 확인해야 한다. 또한, 데이터 백업 및 복구 계획을 사전에 수립해 두는 것이 사고 발생 시 신속한 복구에 큰 도움이 된다. 특히 금융 기관이나 교육 기관의 경우, 개인 정보 보호 법령에 따라 데이터 유출 사고 발생 시 신고 및 통지 의무를 이행해야 하므로, 이러한 절차에 대한 사전 준비가 필수적이다.

이러한 새로운 악성 로더들의 등장은 보안 업계에 새로운 도전 과제를 제기하고 있으며, 사용자 및 기업은 이에 대한 충분한 인식을 바탕으로 보다 적극적인 보안 대책을 마련해야 할 시점이다. BabaDeda, Lorem Ipsum, Potemkin과 같은 로더들은 단순히 악성 코드를 은폐하는 수준을 넘어, 시스템 내에서의 장기적인 활동과 데이터 탈취를 목적으로 하고 있으므로, 이러한 위협에 대한 이해와 대응력이 곧 보안의 핵심 요소로 작용할 것이다. 보안 업체들과 사용자들은 물론, 정부 및 규제 기관 또한 이러한 새로운 위협에 대한 공동 대응 체계를 구축하기 위해 노력하고 있으며, 이는 향후 보안 산업의 방향을 결정짓는 중요한 요인으로 작용할 것이다.