‘스타킬러’: 실시간 로그인 페이지 위장·MFA 탈취까지 가능한 신종 피싱 서비스
일반적인 피싱 사이트는 인기 플랫폼의 로그인 페이지를 단순 복제한 정적 페이지에 불과해, 보안 전문가나 반악용 활동가들에 의해 빠르게 차단된다. 그러나 최근 등장한 ‘스타킬러(Starkiller)’라는 신종 피싱-애즈-어-서비스(PhaaS)는 이 같은 한계를 극복했다. 공격자는 스타킬러를 통해 실제 브랜드의 로그인 페이지를 실시간으로 로드하고, 사용자의 모든 입력을 중간에서 가로채는 ‘중간자 공격’을 수행할 수 있다.
보안 기업 애브노멀 AI(Abnormal AI)가 분석한 결과, 스타킬러는 공격자가Apple, Facebook, Google, Microsoft 등 특정 브랜드를 선택하면 해당 브랜드의 로그인 페이지를 동적으로 로드하는 URL을 생성한다. 예를 들어 마이크로소프트 사용자를 대상으로 한 피싱 링크는 ‘login.microsoft.com@[악성/단축 URL]’ 형태로 표시된다. URL에서 ‘@’ 기호 앞부분은 사용자명처럼 보이지만 실제로는 공격자의 인프라를 거쳐 실질적인 로그인 페이지가 로드된다.
실시간 세션 모니터링·MFA 탈취까지 가능한 고도화된 기능
스타킬러는 공격자에게 다음과 같은 고도화된 기능을 제공한다.
- 실시간 세션 모니터링: 공격자는 사용자가 피싱 페이지와 상호작용하는 화면을 실시간으로 스트리밍할 수 있다.
- 키로거·쿠키·세션 토큰 탈취: 사용자의 모든 키 입력과 폼 제출, 세션 토큰을 기록해 계정 탈취에 활용할 수 있다.
- 지역 추적: 사용자의 위치를 실시간으로 추적할 수 있다.
- 텔레그램 알림: 새로운 로그인 정보가 입력될 때마다 자동으로 텔레그램 알림을 전송한다.
- 캠페인 분석 대시보드: 방문자 수, 전환율, 성능 그래프 등 합법적인 SaaS 플랫폼과 같은 분석 기능을 제공한다.
특히 스타킬러는 MFA(다중 인증) 인증 코드까지 탈취할 수 있는 것으로 확인됐다. 사용자는 실제 사이트에 접속하는 것처럼 보이지만, 실상은 공격자의 프록시를 통해 인증이 진행되며, 이 과정에서 제출된 모든 인증 토큰이 공격자에게 전달된다. 이는 기존 피싱 서비스와 달리 MFA가 적용된 계정도 쉽게 탈취할 수 있음을 의미한다.
어떻게 동작하는가?
애브노멀 AI의 연구원인 캘리 배런(Callie Baron)과 피오트르 보이틸라(Piotr Wojtyla)는 스타킬러의 동작 원리를 다음과 같이 설명했다.
‘스타킬러는 공격자가 선택한 URL을 기반으로 도커(Docker) 컨테이너에서 헤드리스 크롬 브라우저 인스턴스를 실행합니다. 이 컨테이너는 중간자 역프록시로 작동해 사용자의 입력을 실제 사이트로 전달하고, 사이트의 응답을 사용자에게 반환합니다. 모든 키 입력, 폼 제출, 세션 토큰이 공격자-controlled 인프라를 통과하며 실시간으로 로깅됩니다.’
또한 스타킬러는 URL 단축 서비스와의 연동도 지원해, 공격자는 다양한 단축 URL을 피싱 링크로 사용할 수 있다. 예를 들어 ‘bit.ly’, ‘tinyurl’ 등 익숙한 단축 URL을 활용해 사용자의 경계를 더욱 낮출 수 있다.
피싱 서비스 시장의 진화와 대응 방안
스타킬러와 같은 고도화된 피싱 서비스가 등장하면서, 기존의 정적 복제 방식과는 달리 실시간·다중 단계 공격을 통한 피해가 급증할 것으로 예상된다. 보안 전문가들은 다음과 같은 대응책을 권장한다.
- URL 검증: 링크의 세부 구조(예: ‘@’ 기호 사용 여부)를 주의 깊게 확인하고, 의심스러운 도메인은 직접 접속하지 말 것.
- MFA 보안 강화: SMS 기반 MFA보다 앱 기반(Google Authenticator, Authy 등) 또는 하드웨어 키(예: YubiKey)를 사용하는 것이 안전하다.
- 실시간 모니터링: 보안 솔루션을 통해 비정상적인 로그인 시도를 감지하고 차단할 수 있도록 설정.
- 사용자 교육: 피싱 기법의 고도화에 맞춰 정기적인 보안 교육을 실시하고, 의심스러운 링크나 첨부파일을 클릭하지 않도록 유도.
애브노멀 AI는 스타킬러와 같은 서비스가 피싱 시장의 표준으로 자리잡을 가능성이 높다고 경고하며, 기업과 개인이 보다 적극적인 보안 대책을 마련해야 한다고 강조했다.
관련 기사
시스코 SD-WAN 제로데이 취약점, 지속 공격 중… 위협 그룹 ‘UAT-8616’ 연관
Attackers returned once again to a common target with a massive user base by exploiting a max-severity zero-day vulnerability affecting Cisco Catalyst...
미국 국방부, AI 혁명이 전쟁 패러다임 바꿀 것이라 경고
Advanced artificial intelligence models will “fundamentally change warfare as we know it,” a top cyber official at the Defense Department said Thursda...
백악관 사이버 보안 책임자, AI 시대 identity 보안 강화 필요성 강조
As AI becomes more integrated into federal IT (and attacker toolsets) government agencies will need to focus their resources on regulating and monitor...
폭스콘, 북미 공장 사이버 공격 인정… 랜섬웨어 그룹 ‘나이트로겐’ 주장
Foxconn, one of the world’s largest manufacturers of electronics sold by major tech vendors, is recovering from a cyberattack that disrupted some of t...
AI 변기 분석 앱, 사용자 대변 15만 장 데이터베이스 판매 제안
A few weeks ago, I came across a wild post on Reddit’s r/DHExchange, a subreddit for trading large datasets: “I hoarded a large database of something...
AI 최신 모델, 사이버 보안 자동화 능력 급등…인간 전문가 추월 속도 가속화
Two of the most advanced artificial intelligence models — Anthropic’s Claude Mythos Preview and OpenAI’s GPT-5.5 — have significantly surpassed the al...
미국 하원, AI 모델 '마이토스'와 사이버 보안 위험에 대한 청문회 개최 앞두고 비공개 브리핑 진행
The House Homeland Security Committee is digging into Anthropic’s AI model Mythos in a series of briefings and hearings, as questions proliferate on w...
AI 무기화 시대: 사기 및 신원 위조의 새로운 위협
Today’s enterprise executives are navigating a complex landscape of AI-driven challenges, but none is more urgent than the rapid escalation of AI-gene...