마이크로소프트, 13,000개 조직 35,000명 이상을 노린 피싱 캠페인 공개

마이크로소프트, 대규모 토큰 탈취 피싱 작전 공개

마이크로소프트가 13,000개 조직에 걸쳐 35,000명 이상의 사용자 인증 토큰을 탈취한 대규모 피싱 캠페인을 공개했습니다. 공격자들은 공식 발신자로 위장해 전문적으로 제작된 "행동 강령" 테마의 이메일을 발송했으며, 이는 기업 수신함에서 일상적이고 신뢰할 수 있는 것처럼 보이도록 설계된 소셜 엔지니어링 수법입니다. 의료, 금융 서비스, 기술 기업들이 공격의 직격탄을 맞았으며, 이번 사건은 최근 기억에 남는 자격 증명 탈취 사례 중 가장 심각한 것 중 하나로 꼽힙니다.

이 캠페인이 일반적인 피싱과 다른 점은 비밀번호가 아닌 인증 토큰 탈취에 집중했다는 것입니다. 토큰은 사용자가 이미 로그인했음을 증명하는 소형 디지털 자격 증명으로, 이를 탈취하면 공격자가 비밀번호를 알지 못해도 계정에 완전히 접근할 수 있습니다. 즉, 강력하고 고유한 비밀번호를 사용하는 사용자조차도 세션 토큰이 가로채일 경우 피해를 입을 수 있습니다.

인증 토큰 탈취가 특히 위험한 이유

전통적인 피싱은 주로 사용자가 가짜 로그인 페이지에 아이디와 비밀번호를 입력하도록 속이는 방식입니다. 토큰 탈취는 한 단계 더 나아갑니다. 공격자가 유효한 인증 토큰을 손에 넣으면, 로그인 시점에서만 신원을 확인하는 일부 다단계 인증(MFA) 방식을 포함해 보안 검사를 완전히 우회할 수 있는 경우가 많습니다. 시스템 관점에서는 세션이 이미 인증된 상태이므로 재확인할 것이 없습니다.

이는 의료 및 금융과 같은 규제 산업의 조직에 특히 심각한 위협입니다. 민감한 데이터, 고객 기록, 금융 시스템이 모두 해당 로그인 뒤에 있기 때문입니다. 탈취된 토큰 하나가 해당 토큰이 유효한 기간 동안 직원의 이메일, 클라우드 스토리지, 내부 도구, 커뮤니케이션 플랫폼에 대한 만능 열쇠 역할을 할 수 있습니다.

미끼 이메일의 전문적인 외관은 사람이 방어하기를 더욱 어렵게 만듭니다. "행동 강령" 공지는 권위와 긴박감을 풍기는데, 이 두 요소는 소셜 엔지니어링에서 신뢰할 수 있는 레버입니다. 직원들은 이러한 메시지를 진지하게 받아들이도록 훈련되어 있으며, 공격자들이 바로 그 점을 노려 해당 형식을 선택한 것입니다.

이것이 여러분에게 의미하는 바

특히 의료, 금융, 기술 분야의 조직에 근무하고 있다면, 이번 캠페인은 피싱 위협이 더욱 정교해졌다는 구체적인 경고입니다. 잘 만들어진 이메일의 링크를 클릭하고 합법적인 포털처럼 보이는 곳에 로그인하는 것만으로도 자신도 모르는 사이에 세션 토큰이 노출될 수 있습니다.

여러 방어 계층이 함께 작동하여 이 위험을 줄일 수 있습니다:

다단계 인증은 여전히 필수입니다. 고급 토큰 탈취 기법이 일부 MFA 구현을 우회할 수 있지만, 하드웨어 보안 키와 패스키 기반 인증은 SMS나 앱 기반 코드보다 우회하기가 훨씬 어렵습니다. 조직은 가능한 한 FIDO2와 같은 피싱 저항성 MFA 표준을 우선적으로 도입해야 합니다.

네트워크 수준의 보호가 또 다른 계층을 추가합니다. VPN은 기기와 인터넷 간의 트래픽을 암호화하여, 신뢰할 수 없는 네트워크에서 공격자가 전송 중인 데이터를 가로채는 능력을 제한합니다. 직원들이 원격으로 작업하거나 공용 Wi-Fi에 연결할 때, 암호화되지 않은 트래픽은 가로채기에 취약합니다. 다양한 VPN 프로토콜이 암호화와 터널링을 처리하는 방식을 이해하면 조직과 개인이 단순히 보안의 외양을 더하는 것이 아니라 실질적으로 연결을 강화하는 구성을 선택하는 데 도움이 됩니다.

이메일 주의가 그 어느 때보다 중요합니다. 기술적으로 정교한 사용자도 예상치 못한 이메일 알림, 특히 긴박감이나 관리적 권위를 담은 이메일의 링크를 클릭하기 전에 잠시 멈춰야 합니다. 별도의 채널을 통해 요청을 확인하고, 이메일 링크를 사용하는 대신 공식 포털로 직접 접속하는 것은 실질적인 방어 효과가 있는 간단한 습관입니다.

토큰 유효 기간과 세션 관리에도 주의를 기울여야 합니다. 보안 팀은 인증 토큰이 얼마나 오래 유효한지 검토하고, 민감한 애플리케이션에 대해 더 짧은 세션 창을 적용해야 합니다. 토큰이 활성 상태로 유지되는 시간이 길수록, 탈취된 토큰을 사용할 수 있는 시간도 길어집니다.

조직과 개인을 위한 핵심 정리

이번 마이크로소프트의 공개는 패닉의 이유가 아니라 현재의 보안 관행을 감사하는 유용한 계기입니다. 이 규모의 자격 증명 탈취 캠페인이 성공하는 이유는 인식과 행동 사이의 간극을 이용하기 때문입니다. 지금 당장 취할 수 있는 몇 가지 구체적인 조치는 다음과 같습니다:

• MFA 설정을 검토하고 가능한 경우 피싱 저항성 인증 방법으로 전환하세요.
• 원격 근무자가 신뢰할 수 없는 네트워크에서는 VPN을 사용하여 전송 중 트래픽을 암호화하도록 하세요. 어떤 프로토콜이 위협 모델에 가장 적합한지 확실하지 않다면, 각 프로토콜이 보안과 성능을 처리하는 방식을 검토하는 것이 실용적인 출발점입니다.
• 정책 공지나 행동 강령 알림과 같은 권위 기반 이메일을 포함한 소셜 엔지니어링 미끼를 인식하도록 직원을 교육하세요.
• IT 또는 보안 팀에 세션 토큰 정책과 중요 시스템에 대해 더 짧은 만료 기간이 가능한지 문의하세요.

단일 통제 수단만으로는 위험을 완전히 없앨 수 없지만, 인증 위생, 암호화된 네트워크 연결, 사용자 인식을 계층화하면 공격자에게 의미 있는 장벽을 만들 수 있습니다. 이번 캠페인에 영향을 받지 않은 조직들은 이러한 조치 중 적어도 일부를 시행하고 있었을 가능성이 높습니다. 피해를 입은 조직들은 이제 어디에 집중해야 할지 명확한 그림을 갖게 되었습니다.