공격자들이 ClickFix 공격을 위해 700개의 Ghost CMS 사이트를 탈취함

고스트 CMS(Ghost CMS)의 심각한 취약점(CVE-2026-26980)을 악용한 대규모 해킹 공격으로 700개 이상의 웹사이트가 감염되어 가짜 보안 인증을 유도하는 '클릭픽스(ClickFix)' 공격에 노출되었습니다.

전문 번역

공격자들이 최근 공개된 고스트 CMS(Ghost CMS)의 심각한 보안 결함을 악용하여 가짜 보안 인증을 유도하는 클릭픽스(ClickFix) 공격을 전개할 목적으로 악성 자바스크립트 코드를 주입하고 있습니다.

치안신 X랩(QiAnXin XLab)에 따르면, 이번 공격은 고스트의 콘텐츠 API에서 발견된 SQL 인젝션 취약점인 CVE-2026-26980(CVSS 점수: 9.4)을 악용하는 것으로 나타났습니다. 이 취약점을 이용하면 인증되지 않은 공격자가 데이터베이스에서 임의의 데이터를 읽어올 수 있습니다. 해당 보안 결함은 2026년 2월에 출시된 6.19.1 버전에서 패치되었으며, 취약점 자체는 앤트로픽(Anthropic)이 자사의 AI인 클로드(Claude)를 활용해 발견했습니다.

이 취약점이 특히 위험한 이유는 공격자가 권한 없이도 웹사이트의 관리자(Admin) API 키를 탈취할 수 있기 때문입니다. 관리자 API 키를 손에 넣은 공격자는 고스트 CMS에 게시된 기사를 직접 수정할 수 있는 권한을 갖게 되며, 이를 통해 사이트에 악성 코드를 무단 주입하는 일명 '콘텐츠 오염' 행위가 가능해집니다.

X랩 측은 "공격자들이 이 보안 결함을 지렛대 삼아 대상 사이트의 관리자 API 키를 무단으로 획득한 뒤, 고스트 관리자 API를 사용하여 기사들을 대량으로 변조했다"며, "이들은 페이지 하단에 악성 자바스크립트 로더를 주입하여 가짜 캡차(CAPTCHA) 인증 공격을 보조하도록 만들었다"고 설명했습니다.

중국의 보안 전문 업체인 X랩은 이번 활동을 고스트 CMS의 결함을 무기화한 '대규모 오염' 캠페인으로 규정했습니다. 이번 캠페인의 배후에는 최소 2개의 서로 다른 위협 그룹이 존재하는 것으로 추정되며, 일부 사이트의 경우 취약점이 노출된 지 단 하루 만에 악성 코드가 심기기도 했습니다. 이 공격은 2026년 5월 7일에 처음으로 포착되었습니다.

현재까지 이 캠페인으로 인해 대학교, 블록체인, 인공지능(AI), 서비스형 소프트웨어(SaaS), 보안 연구, 미디어, 금융 기술 분야를 아우르는 700개 이상의 웹사이트가 침해를 당했습니다

. X랩은 합법적이고 신뢰도 높은 웹사이트들이 해킹당했다는 사실 때문에 사용자들이 속아 넘어갈 확률이 높아져 클릭픽스 공격의 성공률이 더욱 상승할 수 있다고 경고했습니다.기사 하단에 주입된 자바스크립트 코드는 2단계 로더 역할을 수행하며, 사용자가 페이지를 열어 실행되는 시점에 외부 도메인("clo4shara[.]xyz/11z77u3.php")으로부터 메인 페이로드를 가져오는 책임을 집니다. 이러한 구조는 공격자에게 높은 유연성을 제공합니다. 여러 감염된 사이트에서 로더 기능은 그대로 유지한 채, 자신들이 정한 기준에 따라 언제든 메인 페이로드만 쉽게 교체할 수 있기 때문입니다.

X랩은 "해당 주소(clo4shara[.]xyz/11z77u3.php)에 직접 접근해 보면 전형적인 트래픽 분산 스크립트로 구성된 코드를 확인할 수 있다"며, "이 스크립트의 핵심 기능은 사용자 브라우저의 다양한 핑거프린트(식별 정보)를 수집하여 서버로 전송한 뒤, 서버에서 내려오는 명령에 따라 리다이렉션, 팝업 창 표시, 다운로드 등의 악성 행위를 수행하는 것"이라고 밝혔습니다. 이 PHP 스크립트는 상용 클로킹(접근 제어 및 은닉) 서비스인 애드스펙(Adspect)을 기반으로 작동합니다.

이러한 클로킹 스크립트를 사용하는 이유는 보안 탐지 장비나 크롤러에게는 정상적인 웹페이지만 보여주고, 실제 공격 대상이 되는 일반 사용자에게만 악성 페이로드를 전달하기 위함입니다. 또한 이 스크립트는 임의의 자바스크립트 코드를 실행하고 피해자의 브라우저를 원격 제어할 수 있는 19가지의 다양한 명령을 지원합니다.

공격 대상자로 판별된 방문자에게는 이들이 '로봇이 아닌 사람'임을 증명하도록 유도하는 가짜 캡차(CAPTCHA) 인증 페이지가 iframe HTML 요소를 통해 화면에 나타납니다. 여기서 클릭픽스 공격이 본격적으로 시작되는데, 화면 지시에 따라 사용자가 베이스64(Base64)로 인코딩된 명령어를 복사하여 윈도우 실행(Run) 창에 붙여넣도록 유도합니다.

사용자가 이 명령을 실행하면 압축 파일(ZIP)을 내려받는 드롭퍼가 작동하며, 압축을 풀어 내부의 윈도우 배치(Batch) 스크립트를 구동합니다. 이 배치 스크립트는 다시 파워쉘(PowerShell) 명령을 실행하여 원격 도메인으로부터 DLL 파일을 다운로드한 뒤, "rundll32.exe"를 통해 이를 실행합니다. 이와 동시에 사용자의 의심을 피하기 위해 시선 분산용 가짜 웹페이지를 띄웁니다.

이후에 발견된 변종 악성코드에서는 DLL 파일 대신 자바스크립트 페이로드가 사용되기도 했습니다. 그러나 페이로드의 형태가 무엇이든 간에, 이 공격의 최종 목적은 윈도우 실행 파일(EXE)을 사용자 PC에 설치하는 것입니다. DLL 버전의 경우 올바른 코드 서명 인증서가 포함된 PuTTY 클라이언트 프로그램이 실행 파일로 설치되며, 자바스크립트를 통해 유포되는 바이너리는 일렉트론(Electron) 애플리케이션용 인노셋업(Inno Setup) 설치 프로그램 형태로 구성되어 있습니다.

이렇게 설치된 애플리케이션은 오픈소스 그레이프(Grape) 데스크톱 클라이언트를 변조한 것입니다. 시스템에 끊임없이 기생하면서 원격 서버("web-telegram[.]ug")에 30초마다 한 번씩 신호를 보내 공격자가 내리는 명령을 확인하고, 자바스크립트 코드나 실행 파일을 구동하는 역할을 담당합니다.

고스트 CMS 사용자들은 피해를 방지하기 위해 자사의 인스턴스를 즉시 최신 버전으로 업그레이드하고, 모든 인증 자격 증명(비밀번호 및 API 키)을 재설정해야 합니다. 아울러 사이트 내부를 깨끗이 정리하고, 의심스러운 활동 흔적이 있는지 액세스 로그를 면밀히 감사해야 합니다. 또한 사이트가 오염되었던 기간에 방문했을 가능성이 있는 사용자들에게 해킹 위험성을 공지하고 주의를 당부할 것이 권장됩니다.