전 세계 기업과 개인을 대상으로 한 사이버 위협은 점점 더 정교해지고 있다. 특히 사용자의 경계심을 무너뜨리는 사회공학적 기법은 보안 체계의 취약점을 노린다. 최근 공격자들은 캡차(CAPTCHA)를 위장한 페이지를 활용해 사용자가 악성코드 실행 절차를 스스로 진행하게 만드는 방식으로 공격 전략을 발전시키고 있다.

캡차는 원래 자동화된 봇 접근을 차단하기 위해 설계된 보안 절차지만, 이번 사례에서처럼 이를 위조한 ‘가짜 캡차’는 파일리스 악성코드 유포에 악용됐다. 이러한 공격은 악성 파일을 직접 다운로드하지 않아도 메모리 내에서 악성 행위를 수행할 수 있어 탐지와 차단이 까다롭다.

가짜 캡차 악용 루마 스틸러 유포 시도

DNS 기반 보안 및 콘텐츠 필터링 전문 기업 DNS필터(DNSFilter)가 최근 고객사 중 한 관리 서비스 제공업체(MSP) 네트워크에서 발견된 가짜 캡차 사례를 분석했다. 해당 페이지는 일반적인 인증 화면처럼 보였지만, 사용자가 안내된 단계를 따라 복사·붙여넣기를 수행하면 파일리스 악성코드인 루마 스틸러(Lumma Stealer)가 실행되도록 설계돼 있었다.

연구에 따르면 이 가짜 캡차는 DNS필터 네트워크에서 3일간 총 23회 접속 시도가 있었으며, 그중 17%는 지시된 절차를 완료해 악성 페이로드를 전달받았다. 최초 발견지는 그리스의 한 은행 웹사이트였으며, 이후 ▲Human-verify-7u.pages.dev ▲Recaptcha-manual.shop 두 개의 추가 도메인도 연관 사이트로 식별됐다. 특히 Recaptcha-manual.shop은 브라우저 외부에서 악성 콘텐츠를 로드하는 방식으로 동작했다.

기술적 차단 방식과 보호 DNS의 역할

DNS필터의 콘텐츠 필터링 기능은 해당 위협을 즉시 차단해 피해 확산을 방지했다. 보호 DNS는 사용자의 요청을 실시간 분석하여 악성 도메인 또는 의심스러운 콘텐츠를 포함한 사이트에 대한 접근을 사전에 차단한다. 이를 통해 기업은 파일리스 악성코드와 피싱, 악성 스크립트 실행을 원천적으로 방어할 수 있다.

DNS필터의 윌 스트라파흐(Will Strafach) 보안 인텔리전스 및 솔루션 부문 수석 이사는 “사용자가 의심 사이트에서 클릭이나 작업을 수행하기 전에 신중을 기해야 하지만, 인적 오류는 완전히 피할 수 없다.”라며, “그렇기 때문에 현대 기업 환경에서는 보호형 DNS가 필수적”이라고 강조했다. 또한 그는 “DNS필터는 새롭게 등장하는 악성 사이트를 신속히 식별해 네트워크 전 구간에서 가시성과 제어 기능을 제공한다.”라고 밝혔다.

이번 사례는 단순히 개별 기업의 보안 문제가 아니라 금융, 제조, 공공 서비스 등 다양한 산업에 영향을 미칠 수 있는 구조적 취약점을 보여준다. 특히 금융기관 웹사이트가 초기 침투 경로로 악용됐다는 점은 고객 신뢰도 저하와 직접적인 재정 피해로 이어질 가능성을 시사한다. 또한 파일리스 악성코드는 안티바이러스 탐지를 우회할 수 있어 기존 보안 솔루션만으로는 대응이 어렵다. 이 때문에 콘텐츠 필터링, 보호 DNS, 정기적인 보안 교육을 결합한 다계층 보안 전략이 필수적이다.

가짜 캡차를 통한 공격은 사용자의 심리를 악용하는 동시에 기술적 방어망을 우회하는 고도화된 방식이다. 이번 DNS필터의 대응 사례는 보호 DNS가 이러한 위협 차단에 효과적인 방어 수단이 될 수 있음을 입증했다. 그러나 기술적 솔루션만으로는 충분하지 않으며, 모든 조직은 정기적인 보안 교육과 정책 강화를 통해 인적·기술적 방어력을 동시에 강화해야 한다.