2026년 4월 ClearFake가 Red Canary 위협 Top 10 첫 1위를 기록했다. 블록체인 C2·ClickFix를 결합한 ClearFake, Dead Drop Resolver를 사용하는 ACR Stealer, Graph API를 악용한 GraphRunner까지 합법 인프라를 공격 경로로 삼는 3대 위협을 분석한다.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
분류:
topic| 최신화: 2026년 5월 27일 | 출처: Red Canary Intelligence Insights May 2026
2026년 4월, ClearFake가 Red Canary 월간 위협 인사이트 Top 10 집계에서 처음으로 1위에 올랐다. 2023년 7월 보안 연구자 Randy McEoin이 처음 명명한 이래, 이 드라이브바이 캠페인은 순위를 조금씩 높여 2026년 2월 Top 3에 진입했다가 마침내 4월 정상에 섰다. 같은 달에는 ACR Stealer와 GraphRunner가 공동 6위로 Top 10에 처음 이름을 올렸다.
세 위협은 표면적으로 다른 공격 영역을 다룬다. ClearFake는 웹사이트를 침해해 방문자를 감염시키고, ACR Stealer는 자격증명을 털어 언더그라운드 마켓에 판매하며, GraphRunner는 Microsoft 365 테넌트를 내부에서 통째로 수색한다. 그러나 이 세 위협이 2026년 4월 동시에 주목받은 데는 공통된 구조적 이유가 있다. 기업 보안 팀이 신뢰하는 인프라 — 블록체인, Google Docs, Microsoft Graph API — 를 공격 통로로 삼고, 사용자가 직접 악성 명령을 실행하도록 유도해 기술적 차단 계층을 통째로 건너뛴다.
| 위협 | 4월 순위 | 핵심 전략 |
|---|---|---|
| ClearFake (드라이브바이) | 1위 (첫 1위) | 블록체인 C2 + ClickFix |
| ACR Stealer (MaaS 스틸러) | 6위 (데뷔) | Dead Drop Resolver |
| GraphRunner (M365 익스플로잇) | 6위 (데뷔) | Graph API + 디바이스 코드 |
ClearFake는 WordPress처럼 관리가 소홀한 웹사이트에 악성 JavaScript를 삽입해 방문자의 브라우저에서 실행시키는 드라이브바이 캠페인이다. 2023년 7월 초기 버전은 "브라우저를 업데이트하세요"라는 가짜 팝업으로 시작했다. 2025년 9,300개 이상의 WordPress 사이트가 감염됐고, Google GTIG는 약 1만 4,000개 웹페이지에서 관련 JavaScript를 확인했다.
2024년 이후 ClearFake의 주력 기법은 ClickFix 다. 가짜 CAPTCHA 화면이나 Microsoft 오류 복구 안내를 위장해 피해자에게 "이 명령어를 실행해야 오류가 해결된다"는 지시를 보여준 뒤, 클립보드에 복사된 PowerShell 명령을 Win+R에 붙여 넣어 실행하도록 유도한다. 피해자가 직접 명령을 실행하는 구조이므로, 브라우저 샌드박스·파일 다운로드 경보·EDR 프로세스 계보 탐지가 개입할 여지가 없다. ESET 보고서 기준 2025년 상반기 ClickFix 공격은 전년 대비 517% 증가했다.
ClearFake의 가장 독특한 요소는 EtherHiding 이다. BNB Smart Chain 스마트 컨트랙트에 다음 단계 페이로드의 주소를 저장하고, 삽입된 JavaScript가 블록체인에서 해당 주소를 조회한다. 블록체인 트랜잭션은 삭제되지 않고, C2 인프라에 해당하는 별도 도메인도 존재하지 않는다. 보안 팀이 특정 도메인이나 IP를 차단해도 캠페인은 멈추지 않는다. 2025년 8월 이후 약 15만 개 시스템 식별자가 이 컨트랙트에 제출됐다.
2026년 4월 ClearFake가 배포하는 최종 페이로드는 LummaC2와 ACR Stealer가 주를 이룬다. 2025년 3월부터 ACR Stealer가 ClearFake 배포 체인에 편입됐으며, 이번 달 ACR Stealer의 Top 10 데뷔 배경에도 ClearFake가 있다.
Mandiant(GTIG)는 ClearFake 운영 집단을 UNC5142 로 추적한다. 2025년 7월 이후 일시적 활동 감소가 관측됐지만, 2026년 초 ClickFix 변종이 재개됐다. 주목할 점은 북한 연계 UNC5342가 동일한 EtherHiding 기법을 채택했다는 것이다. 차단하기 어렵고 운영 비용이 낮은 이 블록체인 기반 인프라가 국가 지원 APT에도 전파되는 패턴이다.
ACR Stealer는 러시아어 사이버범죄 포럼에서 "SheldIO"라는 위협 행위자가 판매하는 C++ 기반 MaaS(Malware-as-a-Service) 인포스틸러다. 별칭은 Amatera다. 2024년 3월 Malpedia에 최초 식별됐고, 2025년 2월 러시안 마켓에 정식 등록된 이후 5월 로그 수가 전월 대비 690% 급증했다.
탈취 대상은 200개 이상의 애플리케이션이다. Chrome·Firefox·Edge 같은 브라우저의 자격증명·쿠키·세션 토큰, 암호화폐 지갑 50종 이상의 개인키, Telegram 세션, Steam 계정, FileZilla FTP 자격증명까지 포함한다. 구독 요금은 월 $199~연 $1,499 수준이다.
ACR Stealer의 핵심 전술은 Dead Drop Resolver(DDR) 다. C2 서버 주소를 악성코드에 하드코딩하지 않고, Google Docs·Steam 커뮤니티 프로필·Telegram 채널처럼 합법적인 플랫폼에 C2 도메인을 게시한다. 악성코드는 이 플랫폼을 읽어 실제 C2 주소를 얻는다. 네트워크 모니터링 입장에서 Google Docs로 가는 HTTPS 트래픽은 정상 업무 트래픽과 구분되지 않으므로, URL 필터링이나 도메인 차단으로는 이 통신을 막을 수 없다.
기술적 회피 기법도 정교하다. NtCreateUserProcess 직접 시스템 콜로 API 모니터링을 건너뛰고, WoW64 Heaven's Gate(32비트 프로세스 내 64비트 코드 실행)로 일부 안티바이러스의 분석 구조를 깨뜨린다. AFD 드라이버를 직접 통신해 Winsock 레이어 탐지도 우회한다.
2026년 4월 캠페인에서 ACR Stealer는 가짜 Claude Code GitLab 페이지(claude-desktop[.]gitlab[.]io)를 미끼로 사용했다. Go 기반 리플렉티브 로더에 감싸져 배포됐으며, rundll32.exe를 통한 DLL 사이드로딩으로 실행됐다. Red Canary는 rundll32.exe가 커맨드라인 파라미터 없이 실행되면서 동시에 네트워크 연결을 수립하는 패턴을 특이 지표로 꼽았다.
GraphRunner는 2023년 11월 블랙힐스 인포섹이 레드팀 도구로 공개한 PowerShell 기반 툴셋이다. Microsoft Graph API를 통해 Microsoft 365 테넌트 내 이메일·파일·채팅·사용자 정보를 탐색하고 추출한다. GitHub에 1,300개 이상의 스타를 보유한 공개 도구지만, 2024년부터 APT 그룹과 사이버범죄 집단이 실전 공격에 활용하기 시작했다.
공격자가 Graph API를 선호하는 이유는 세 가지 구조적 조건이 겹쳐 있기 때문이다.
첫째, 모든 요청이 graph.microsoft.com으로 향한다. 이 도메인을 차단하면 Microsoft 365 자체가 작동하지 않으므로, URL 필터링이나 도메인 블랙리스트가 GraphRunner만 막는 것은 구조적으로 불가능하다.
둘째, 차단이 불가능한 상황에서 로그마저 기본적으로 쌓이지 않는다. Microsoft Graph Activity 로그는 기본적으로 비활성화돼 있어, Microsoft Sentinel이나 Log Analytics Workspace를 별도로 연동하지 않으면 GraphRunner가 수백 건의 이메일을 수집해도 흔적이 남지 않는다.
셋째, 차단도 탐지도 어려운 상황에서 인증 단계까지 우회할 수 있다. 디바이스 코드 피싱과 결합하면 MFA를 완전히 건너뛰는 것이 가능하다. 디바이스 코드 인증은 TV나 공유 디바이스에서 로그인할 때 쓰는 정상 OAuth 플로우다. 공격자가 이 흐름을 역이용해 피해자에게 인증 코드를 입력하게 만들면, MFA를 통과한 유효한 액세스 토큰을 획득한다.
Storm-2372 그룹은 2025년 2월 이 방식으로 정부기관·방산 기업·NGO의 Microsoft 365 계정을 침해했다. 2026년 4월에는 AI 기반 인프라를 활용해 공격 규모를 키운 확장형 캠페인이 Microsoft Security Blog에 공개됐다. 액세스 토큰을 확보한 GraphRunner는 Outlook 이메일 전체를 검색·내보내고, SharePoint·OneDrive 파일을 추출하며, Teams 채팅 이력을 읽는다. 조건부 액세스 정책을 비활성화하거나 게스트 계정을 추가해 지속성을 유지하는 것도 가능하다.
GraphRunner의 확산에는 Kali365·EvilTokens 같은 PhaaS(피싱-as-a-Service) 플랫폼도 기여한다. 이 플랫폼들은 GraphRunner 전술을 자동화해 기술적 역량이 낮은 공격자도 디바이스 코드 피싱 캠페인을 운영할 수 있도록 한다.
세 위협의 방어 우회 논리는 같은 지점을 향한다. "합법 서비스를 공격 인프라로 쓰면 차단 기반 방어가 작동하지 않는다. 그리고 사용자가 직접 명령을 실행하게 만들면 기술적 탐지 계층이 개입할 순간 자체가 없다."
ClearFake는 블록체인 트랜잭션을 C2로, ACR Stealer는 Google Docs와 Steam 프로필을 C2로, GraphRunner는 Microsoft Graph API 자체를 공격 경로로 삼는다. 기업 보안 팀이 의심 도메인을 차단하고, 피싱 URL 필터를 돌리고, C2 IP를 블랙리스트에 올리는 전통적 방어 체계는 이 세 위협 앞에서 공통적으로 무력하다. ClickFix는 여기서 한 발 더 나아가 — 피해자가 공격을 직접 실행하므로 탐지 경보가 울릴 만한 외부 파일 다운로드나 프로세스 주입 자체가 발생하지 않는다.
탐지 가능한 지점은 따로 있다. ClearFake의 경우 브라우저에서 cmd.exe나 powershell.exe로 이어지는 비정상 프로세스 계보가 남는다. ACR Stealer는 rundll32.exe가 파라미터 없이 실행되면서 네트워크 연결을 여는 패턴이 이상 지표다. GraphRunner는 단시간에 대량의 이메일 조회나 OneDrive 다운로드가 발생하는 Graph API 호출 패턴으로 탐지할 수 있다.
국내 기업 환경에서도 이 세 위협의 위험은 그대로 적용된다. 국내 중소기업·정부 산하 기관의 상당수가 WordPress 기반 웹사이트를 운영하며, Microsoft 365는 대기업과 공공기관에 광범위하게 도입됐다. GraphRunner가 겨냥하는 디바이스 코드 피싱 취약점과 ACR Stealer가 탈취하는 M365 세션 토큰은 국내 조직에서도 동일하게 유효한 공격 벡터다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.