제미나이가 추천해준 사이트에서 "로봇 아님"을 증명하다가 해킹당함
(mytory.net)- 제미나이와 대화중 추천 받은 사이트에 들어감
- 로봇 아님 클릭 시 클립보드에 악성 명령이 미리 복사되고, 이후 인간임을 검증하려면 터미널을 열어 붙여 넣기를 하고 엔터 치라고 안내.
- 실행하면
curl | bash형태로 추가 스크립트를 받아 실행 - 맥
LaunchAgents에 등록되어 재부팅/로그인 후에도 지속 실행 - 원격 서버에서 AppleScript를 받아 실행하며 정보 수집 및 권한 상승 시도
이번 경우:
- 관리자 비밀번호를 입력하지 않아 권한 상승은 실패
- 하지만 사용자 권한 범위 내에서 정보 접근/수집은 일부 이뤄졌을 가능성 있음
대응:
- 즉시 네트워크 차단
~/Library/LaunchAgents악성 plist 제거- 실행 프로세스 종료
- 브라우저 모든 세션 로그아웃 후 재로그인 (쿠키 무효화)
- SSH 키 교체
교훈:
- 웹페이지가 “검증/인증”을 이유로 로컬 명령 실행을 요구하면 의심해야 함
- AI가 추천하는 사이트도 의심해야 함
- 특히 터미널/실행창/PowerShell 열어서 붙여넣기 유도하면 거의 이 패턴
- 관리자 비밀번호 입력 요구 의심은 가장 중요한 습관이자 마지막 방어선
상세 분석, 실제 명령어, 대응 과정은 원문 참고
비슷하지만 좀 다른 얘긴데 커서를 오래 사용하다보니 허용된 커맨드 목록이 점점 늘어나더라구요. 어느순간 갑자기 무서워져서 dir, echo 등 가장 기본적인 것만 냅두고 모두 삭제했습니다. 참고로 Agent settings > Agents > Command Allowlist 여기입니다.
수법은 고전적인데 사이트는 그럴싸하게 잘 만들어져 있네요.
여하간 창이 못 끄게 돼 있길래 ‘지금은 바쁘니 나중에 꺼야지’ 하고 창을 한쪽에 밀어 넣고 일했습니다.
귀차니즘 때문에 해킹에 당하고, 귀차니즘 덕분에 큰 화는 면한...ㅎㅎ