제미나이가 추천한 사이트에서 '로봇 아님' 누르다 백도어 깔린 개발자

가짜 캡차로 악성 명령어를 클립보드에 심고 “인증하려면 터미널에 붙여넣어라”라고 시키는 수법은 새로울 게 없다. 보안 업계가 ClickFix라고 부르며 몇 년째 추적해온 전형적인 사회공학 공격이다. 그런데 이번에 공유된 사례가 눈길을 끄는 건 공격 기법이 아니라, 그 공격이 도달한 경로다. 피해 개발자는 검색하다 우연히 들어간 게 아니라, 제미나이가 추천해줘서 그 사이트에 들어갔다.

공격은 구식인데 미끼만 신상이다

기술적으로 뜯어보면 진부하다. ‘로봇이 아닙니다’ 캡차를 누르는 순간 curl | bash형 명령어가 클립보드에 자동 복사되고, “인간임을 증명하려면 붙여넣고 엔터를 치라”는 안내를 따르면 추가 스크립트가 내려와 macOS LaunchAgent로 백도어가 박힌다. 단계 하나하나가 교과서에 실려도 될 만큼 정석이다. 출처 불명 스크립트를 터미널에 붙여넣지 말라는 건 십수 년 묵은 금기고, 가짜 캡차도 이미 닳은 미끼다.

그래서 흥미로운 지점은 따로 있다. 이 공격이 통하려면 피해자가 “이 사이트 좀 미심쩍은데?” 하는 1초의 의심을 건너뛰어야 한다. 평소 같으면 작동했을 그 의심을, 이번엔 제미나이가 대신 꺼버렸다. AI가 골라줬다는 사실이 사이트에 일종의 신원보증을 붙여준 셈이다. 검색 결과 10번째 링크라면 한 번 더 봤을 텐데, AI가 “여기 가봐”라고 하니 검증을 외주 준 것처럼 느껴진다.

AI 추천은 출처 세탁기가 될 수 있다

LLM은 답을 ‘검증’하는 기계가 아니라 그럴듯한 답을 ‘생성’하는 기계다. 추천한 URL이 안전한지는 보장 범위 밖인데, 사용자 입장에선 깔끔한 문장으로 정리돼 나오니 출처의 지저분함이 보이지 않는다. 이게 위험하다. AI가 직접 악성코드를 심지 않아도, 의심스러운 출처를 매끈한 추천으로 포장해 신뢰를 한 단계 세탁해주는 통로가 될 수 있다.

결국 이번 일은 AI의 잘못이라기보다 신뢰가 옮겨붙는 방식의 문제다. 예전엔 ‘낯선 사이트’를 경계하면 됐지만, 이제는 ‘신뢰하는 도구가 데려간 낯선 사이트’라는 한 겹 꼬인 상황을 경계해야 한다. 터미널에 정체 모를 명령어를 붙여넣기 직전의 그 멈칫함, 그것만큼은 AI가 추천했든 친구가 보냈든 똑같이 작동시켜야 한다. 자동화할 수 있는 건 많아졌어도 마지막 의심 한 번은 여전히 외주가 안 된다.