직원을 속여 마이크로소프트 365의 다중 인증(MFA) 보호를 우회하게 하는 새로운 피싱 캠페인이 발견됐다. 피해자는 자신도 모르게 해커가 통제하는 장치를 자신의 계정에 등록하며, 공격자는 생성된 OAuth 토큰을 이용해 지속적인 접근 권한을 유지한다.

OAuth 장치 등록을 악용해 다중 인증 로그인 보호를 우회하는 또 다른 장치 코드 피싱 캠페인이 확인됐다.

보안 업체 노비포(KnowBe4) 연구진에 따르면 해당 캠페인은 북미 지역 기업과 전문가를 주로 노리고 있으며, 공격자는 직원이 위협 행위자가 보낸 이메일 속 링크를 클릭하도록 유도한다.

해당 이메일은 기업 전자 자금 이체, 성과급 관련 문서, 음성 메시지 등을 사칭하거나 다른 유인 요소를 포함한다. 메시지에는 ‘보안 승인’ 코드가 포함돼 있으며, 사용자가 링크를 클릭하면 실제 마이크로소프트 오피스 365 로그인 페이지로 이동하고 해당 코드를 입력하라는 안내가 나온다.

피해자는 로그인 페이지가 실제 페이지이기 때문에 메시지를 정상으로 오인하고 코드를 입력한다. 그러나 해당 코드는 위협 행위자가 제어하는 장치에 대한 코드다. 결과적으로 피해자는 해커 장치에 자신의 마이크로소프트 계정 접근 권한을 부여하는 OAuth 토큰을 발급하게 된다. 이후 공격자는 해당 계정이 허용하는 모든 자원에 접근할 수 있다.

이 공격은 자격 증명 탈취에 초점을 둔 방식은 아니다. 공격자가 원할 경우 자격 증명도 탈취할 수 있지만, 핵심은 피해자의 OAuth 접근 토큰과 갱신 토큰을 확보해 아웃룩, 팀즈, 원드라이브 등 애플리케이션을 포함한 마이크로소프트 계정에 지속적으로 접근하는 데 있다.

공격이 가능한 이유는 마이크로소프트 365를 포함한 일부 서비스가 계정에 장치를 추가할 수 있도록 OAuth 2.0 장치 인증 승인 절차를 사용하기 때문이다. 이는 가정에서 스마트 TV를 넷플릭스 계정에 추가하는 방식과 유사하다.

노비포는 이를 새로운 공격으로 평가했다. 다만 산스 인스티튜트(SANS Institute) 연구 책임자 요하네스 울리히는 이를 “오래된 수법의 재등장”이라고 표현했다.

보안 업체 트렌드마이크로에 따르면 폰 스톰으로 불리는 위협 행위자는 2015년부터 피싱 캠페인에 OAuth를 활용해 왔다. 또한 2020년, 마이크로소프트는 위협 행위자가 OAuth 2.0 공급자를 설치해 공격자 통제 애플리케이션에 데이터 접근 권한을 부여하도록 유도하는 ‘동의 피싱’에 대해 경고한 바 있다. 울리히는 산스 인스티튜트 직원 한 명도 과거 이런 피싱 이메일에 속았다고 인정했다.

울리히는 최신 공격에 대한 주요 대응책으로 사용자가 계정에 연결할 수 있는 애플리케이션을 제한하는 방안을 제시했다. 마이크로소프트는 기업 관리자가 OAuth를 통해 사용자가 승인할 수 있는 애플리케이션을 허용 목록으로 지정할 수 있는 기능을 제공한다.

보안 교육 기업 노비포 최고정보보안책임자 자문인 로저 그라임스는 2020년 장치 코드 피싱에 대해 경고한 바 있다. 목요일 진행된 인터뷰에서 그라임스는 최신 수법의 특징으로 피해자가 정상 도메인에 로그인한다는 점과, 공격 목적이 사용자 장치 토큰 확보에 있다는 점을 지적했다.

그라임스는 사용자가 합법적인 포털에 로그인하는 행위 자체는 잘못이 아니라고 설명했다. 로그인 주소를 확인하면 실제 마이크로소프트 도메인이지만, 공격자가 사전에 자신의 장치를 등록해 피해자가 입력할 코드를 확보해 둔 구조라고 밝혔다.

캐나다 보안 인식 교육 기업 보세론 시큐리티(Beauceron Security) 대표 데이비드 십리는 2024년 이후 OAuth 장치 코드 공격이 증가세를 보이고 있다고 말했다. 계정 보안, 특히 MFA 강화에 대한 자연스러운 진화적 대응이라는 분석이다.

십리는 필요하지 않다면 오피스 365에 추가 로그인 장치를 등록하는 기능을 비활성화하는 것이 가장 쉬운 방어책이라고 설명했다.

또한 직원은 익숙한 시스템에서 온 요청이라 하더라도 비정상적인 로그인 요구에 대해 지속적으로 경계해야 한다.

십리는 새로운 사회공학 기법을 교육하고 유사 공격을 기반으로 한 피싱 모의 훈련을 실시하면 직원이 이를 신고하는 데 익숙해질 수 있으며, 실제 공격 발생 시 대응에 도움이 된다고 덧붙였다.

클라우드 보안 업체 앱옴니(AppOmni) 최고보안책임자 코리 미칼은 많은 기업이 계정 보안 강화와 다중 인증에 대규모 투자를 했음에도 불구하고, 공격자가 OAuth 토큰과 서비스·통합 계정을 악용하는 사례가 빈번하다고 지적했다.

미칼은 OAuth 토큰이 종종 소지자 기반 자격 증명처럼 동작한다고 설명했다. 공격자가 이를 확보하면 추가 로그인이나 MFA 요구 없이 단일 요소 접근 방식으로 통합 계정처럼 행위할 수 있으며, 활동이 정상적인 응용프로그램 인터페이스·통합 패턴 속에 섞일 수 있다고 분석했다. 강력한 MFA 정책이 적용돼 있더라도 비인간 계정과 OAuth 토큰 관리가 동일한 수준으로 통제·모니터링되지 않으면 지속적 노출이 공존할 수 있다고 경고했다.

미칼은 정보기술 책임자가 기존의 제3자 공급업체 평가를 넘어, 서비스형 소프트웨어 환경에서 실행 중인 통합 현황을 실제로 목록화하고 점검해야 한다고 강조했다. 어떤 애플리케이션이 연결돼 있는지, 어떤 OAuth 권한 범위를 갖고 있는지, 여전히 필요한지 여부를 확인해야 한다는 설명이다.

대부분 기업은 인지하지 못한 채 더 많은 통합을 운영하고 있으며, 초기 사업 목적이 사라진 이후에도 광범위한 권한을 유지하는 사례가 많다고 지적했다.

동시에 의존하는 서비스형 소프트웨어 공급업체에 대해 토큰 보안, 기록 관리, 사고 대응, 안전한 통합 구조와 관련한 명확한 요구 사항을 설정해야 한다고 강조했다. 자체 테넌트 설정과 모니터링 체계도 최소 권한 원칙에 맞게 강화해 통합 활동을 가시화하고, 상위 시스템이 침해될 경우 신속히 격리할 수 있어야 한다고 덧붙였다.

그라임스는 사용자가 자신의 마이크로소프트, 구글 등 로그인 계정에 승인된 장치 수를 확인하도록 교육할 수 있다고 말했다. 또한 로그인 페이지로 연결되는 이메일 링크에 대해 지속적으로 의심을 가져야 한다고 강조했다.

그라임스는 장치 코드 피싱 관련 블로그에서 마이크로소프트 엔트라(마이크로소프트 Entra) 관리자가 조건부 접근 정책에서 ‘장치 코드 흐름’을 비활성화할 수 있다고 설명했다. 이 설정은 악성 사용자뿐 아니라 모든 사용자에 대해 장치 코드 사용을 차단한다. 그 결과 사용자는 단순한 장치 코드 외에 추가 정보를 제공해야 로그인할 수 있지만, 해당 유형의 피싱 공격으로부터 정보기술 환경을 보다 효과적으로 보호할 수 있다.

dl-itworldkorea@foundryco.com