DEEP DIVE REPORT

Microsoft 피싱 캠페인 35,000명 타깃 분석: 글로벌 조직을 노린 정교한 이메일 위협

SecurityDesk
2026.05.07 조회 16

개요

2026년 4월 14일부터 16일까지 3일간 전 세계 26개국 13,000개 이상의 조직에서 35,000명 이상의 사용자를 대상으로 대규모 자격증명 도난 피싱 캠페인이 발생했습니다. Microsoft가 공식적으로 경고한 이 피싱 공격은 행동 강령(Code of Conduct) 검토를 주제로 한 정교한 소셜 엔지니어링 기법과 적대자-중간-공격(AiTM, Adversary-in-the-Middle) 틱닉을 결합하여 다중인증(MFA)을 우회했습니다. 공격의 92%는 미국 내 조직을 대상으로 했으며, 주요 타깃은 의료/생명과학(19%), 금융 서비스(18%), 전문 서비스(11%), 기술/소프트웨어(11%) 섹터였습니다.

공격 분석

공격 시나리오

이 캠페인은 다단계 피싱 흐름으로 구성되었습니다:

  1. 초기 유인 이메일 전송: 공격자는 합법적인 이메일 배송 서비스(추정상 클라우드 호스팅 Windows 가상머신)를 사용하여 피싱 이메일을 발송했습니다. 발신자는 여러 도메인에서 전송되었으나 모두 공격자가 통제하는 것으로 판단됩니다.

  2. 소셜 엔지니어링: 이메일은 조직 내부의 규정 준수 메시지를 위장했습니다. 디스플레이 이름으로 "Team Conduct Report", "Workforce Communications", "Internal Regulatory COC" 등을 사용했으며, 제목은 "Reminder: employer opened a non-compliance case log", "Internal case log issued under conduct policy" 등이었습니다.

  3. PDF 첨부파일: 이메일에는 "Awareness Case Log File" 또는 "Disciplinary Action"이라는 이름의 PDF 첨부파일이 포함되었습니다. 이 PDF 내부의 "Review Case Materials" 링크를 클릭하도록 유도했습니다.

  4. 다단계 CAPTCHA 게이트: 링크를 클릭하면 Cloudflare CAPTCHA 페이지로 이동합니다. 이는 자동화된 보안 스캐너와 분석 봇을 방지하기 위한 게이팅 메커니즘으로 작동했습니다.

  5. 가짜 검토 페이지: 첫 CAPTCHA 통과 후 "문서 검토 및 서명 필요"라는 페이지가 표시되며, 이메일 주소 입력을 요구합니다. 그 후 두 번째 CAPTCHA 페이지가 나타납니다.

  6. AiTM 로그인 페이지: 최종적으로 Microsoft 계정 로그인을 요청하는 페이지로 이동합니다. 이 단계에서 공격자는 세션을 프록시하여 인증 토큰을 실시간으로 캡처하고 즉시 계정 접근을 탈취합니다.

기술적 특징

AiTM (Adversary-in-the-Middle) 공격

전통적인 자격증명 수집과 달리, AiTM 공격은 인증 트래픽을 실시간으로 가로채 비피싱 저항성 다중인증을 우회합니다. 공격자는 사용자와 정당한 Microsoft 인증 서버 사이에 위치하여:
- 사용자가 입력한 자격증명을 가로챕니다
- 정당한 인증 서버로 전달하여 인증을 완료합니다
- 발행된 토큰(액세스 토큰, 갱신 토큰)을 가로챕니다
- 이 토큰을 사용하여 사용자 계정에 접근합니다

MFA는 사용자와 서버 간의 직접 통신을 전제로 하므로, 중간에 프록시가 끼어 있으면 MFA 챌린지 우회할 수 있습니다.

CAPTCHA 게이팅

다단계 CAPTCHA 사용은 이 캠페인의 독특한 특징입니다:
- 자동화된 보안 스캐너와 분석 봇을 방지
- 인간 사용자에게는 정당한 프로세스로 인식됨
- Cloudflare CAPTCHA는 신뢰할 수 있는 서비스로 인식되어 의심을 줄임
- 보안 팀이 수동 분석을 수행할 때 시간 지연 유발

정교한 HTML 템플릿

Microsoft 보안 연구팀은 이 캠페인이 "기업 스타일의 세련된 HTML 템플릿"을 사용한다고 분석했습니다:
- 구조화된 레이아웃
- 안전 인증성 진술("authorized internal channel", "reviewed and approved for secure access")
- 긴급성과 압박감 조성(혐의 제기, 시간 제한 행동 요구)
- 일반적인 피싱 이메일보다 디자인 신뢰성이 높아 보임

피해 규모 및 타깃

피해 규모

  • 대상 사용자: 35,000명 이상
  • 대상 조직: 13,000개 이상
  • 대상 국가: 26개국 (미국 92%, 기타 8%)
  • 기간: 2026년 4월 14일-16일 (3일)

산업별 타깃

  1. 의료 및 생명과학: 19%
  2. 금융 서비스: 18%
  3. 전문 서비스: 11%
  4. 기술 및 소프트웨어: 11%
  5. 기타: 41%

Microsoft는 특히 금융, 의료, 공공 부문을 타깃으로 한 비즈니스 이메일 컴플라이스(BEC) 공격이 급증하고 있다고 경고했습니다.

관련 위협 동향

Amazon SES 악용

Boannews 보고에 따르면, 아마존 간편 이메일 서비스(SES, Simple Email Service)를 악용한 피싱 이메일이 급증하고 있습니다. 이 공격의 주요 특징:

  • SPF, DKIM, DMARC 우회: Amazon SES는 신뢰할 수 있는 이메일 인프라로 인식되어 이러한 인증 검사를 통과
  • AWS 액세스 키 유출: 공격자는 개발자가 GitHub 리포지토리, ENV 파일, Docker 이미지, S3 버킷에 노출한 IAM 액세스 키를 탈취
  • TruffleHog 자동화: 공격자는 비밀정보 스캔 오픈소스 도구인 TruffleHog 기반의 봇을 사용하여 유출된 키를 자동으로 탐지
  • 정당한 인프라 악용: 의심스러운 도메인을 구축할 필요 없이 신뢰할 수 있는 인프라를 사용하여 대량의 피싱 이메일 발송

2026년 Q1 피싱 트렌드

Microsoft의 이메일 위협 분석(2026년 1월-3월)에 따르면:

  • QR 코드 피싱: 가장 빠르게 성장하는 공격 벡터. 1월 760만 건에서 3월 1,870만 건으로 146% 급증
  • CAPTCHA 게이트 피싱: 페이로드 유형 전반에 걸쳐 "빠르게" 진화
  • 총 이메일 기반 피싱 위협: 약 83억 건 감지
  • 링크 기반 공격: 약 80%
  • 악성코드 배포: 5-6%로 감소 (대부분 자격증명 수집이 최종 목표)
  • BEC 공격: 1월 350만 건, 2월 300만 건, 3월 400만 건. Q1 총 1,070만 건

PhaaS(Phishing-as-a-Service) 플랫폼

Tycoon 2FA, Kratos (이전 Sneaky 2FA), EvilTokens 등 피싱 서비스 플랫폼이 활성화되어 있습니다:
- 2026년 3월 공동 교란 작전 후 Tycoon 2FA는 Cloudflare에서 다른 호스팅 제공자로 이동
- 여러 PhaaS 플랫폼이 동일한 캠페인에 협력

대응 방안

기술적 대응

1. AiTM 공격 탐지

로그인 이상 감지:

- 비정상적인 지리적 위치에서의 로그인 시도
- 짧은 시간 내 여러 기기에서의 로그인
- 비정상적인 IP 주소 패턴 (데이터센터, 프록시 서버)
- 동일한 사용자 계정에 대한 동시 로그인 시도

조건부 액세스 정책 강화:

{
  "displayName": "Block suspicious sign-in locations",
  "conditions": {
    "locations": {
      "includeLocations": ["All"],
      "excludeLocations": ["Trusted locations"]
    },
    "riskLevel": "medium",
    "devicePlatform": ["all"]
  },
  "grantControls": {
    "operator": "OR",
    "builtInControls": ["block"]
  }
}

2. 이메일 보안 강화

SPF, DKIM, DMARC 적용:
- SPF(Sender Policy Framework): IP 허용 목록 관리
- DKIM(DomainKeys Identified Mail): 디지털 서명으로 도메인 인증
- DMARC(Domain-based Message Authentication, Reporting & Conformance): SPF/DKIM 실패 시 처리 정책

보안 툴 배포:
- Microsoft Defender for Office 365
- Safe Links: 링크 클릭 시 실시간 검사
- Safe Attachments: 첨부파일 샌드박스 분석
- 피싱 보고 버튼: 사용자가 의심스러운 이메일 보고

3. 사용자 인증 강화

비피싱 저항성 MFA 도입:
- FIDO2/WebAuthn 하드웨어 키 (가장 강력)
- Microsoft Authenticator 앱 (번호 일치, 앱 알림)
- 조건부 액세스: 신뢰할 수 있는 기기/위치에서만 MFA 면제

Number Matching 적용:
- Microsoft Authenticator의 "숫자 일치" 기능 활성화
- AiTM 공격에 대한 추가 방어 계층 제공

사용자 교육

1. 피싱 인식 교육

행동 강령 관련 피싱 특징:
- "규정 위반", "비준수 사건", "질계 조치" 등 혐의 제기
- "즉시 조치 필요", "24시간 내 응답" 등 시간 압박
- "권한 내부 채널", "보안 검토 완료" 등 인증성 주장
- PDF 내부의 링크 클릭 요구

질문 리스트:

✓ 이 이메일이 갑작스럽게 도착했는가?
✓ 발신자 주소를 확인했는가? (실제 주소와 디스플레이 이름이 다를 수 있음)
✓ 링크 위에 마우스를 올려 실제 URL을 확인했는가?
✓ 조직의 정책에 따라 행동 강령 관련 통보가 이메일로 이루어지는가?
✓ 첨부파일이나 링크를 클릭하기 전 IT 부서에 문의했는가?

2. 보고 문화 조성

피싱 보고 절차:
1. 의심스러운 이메일 수신
2. 보고 버튼 클릭 또는 IT 보안팀으로 전달
3. 삭제 (클릭하지 않은 경우)
4. 클릭했을 경우: 즉시 비밀번호 변경 및 IT 보안팀 통보

사고 대응 절차

1. 초기 대응 (0-2시간)

  • 영향 범위 파악: 로그인 로그, 이상 활동 로그 분석
  • 손상된 계정 식별: 비정상적인 로그인 패턴 탐지
  • 계정 잠금 및 비밀번호 재설정 강제 적용
  • 세션 무효화: 모든 활성 세션 종료
  • 관리자에게 알림: 보안팀, IT 운영팀, 경영진 통보

2. 조사 (2-24시간)

  • 포렌식 분석:
  • 로그인 시간/위치/기기 정보 수집
  • 액세스 토큰 사용 내역 조사
  • 데이터 접근 기록 분석
  • 데이터 유출 확인:
  • OneDrive, SharePoint, 이메일의 민감 정보 접근 여부
  • 외부 공유 파일/폴더 확인
  • 전송 규칙/자동 전송 설정 확인

3. 완료 및 복구 (24-72시간)

  • 손상된 계정 복구:
  • 새로운 비밀번호 강제 설정
  • MFA 재등록
  • 조건부 액세스 정책 일시적 강화
  • 영향받은 시스템 격리
  • 보안 컨트롤 강화:
  • 로그인 모니터링 규칙 추가
  • 알림 임계값 조정
  • 사용자 교육 강화

4. 사후 검토 (1주 이내)

  • 인시던트 보고서 작성
  • 근본 원인 분석
  • 개선 계획 수립
  • 이해관계자 통보 (필요 시)

탐지 포인트

Microsoft Defender for Cloud Apps

활동 로그 경고:

활동: "Multiple failed logins followed by successful login"
조건: 동일 계정, 5분 내 3회 이상 실패 후 성공
심각도: 높음

활동: "Login from impossible travel location"
조건: 15분 내 500km 이상 떨어진 위치에서 로그인
심각도: 높음

활동: "Download large amount of data"
조건: 1시간 내 1GB 이상 다운로드
심각도: 중간

Microsoft Sentinel

KQL 쿼리 예시:

SigninLogs
| where ResultType == 0
| where ConditionalAccessStatus == "success"
| where AuthenticationDetails has "MFA"
| where IPAddress in (external_ip_range)
| where TimeGenerated > ago(24h)
| project UserPrincipalName, AppDisplayName, DeviceDetail,
          IPAddress, Location, AuthenticationDetails
| where isnotempty(UserPrincipalName)
| order by TimeGenerated desc

조건부 액세스 신호

위험 신호 기반 차단:
- 로그인 리스크: 중간 이상
- 사용자 리스크: 중간 이상
- 디바이스 규정 준수 수치: 미준수
- 위치: 비신뢰 지역
- 애플리케이션: 민감한 데이터 액세스

완료 포인트

계층별 방어

1계층: 예방 (Prevention)
- 강력한 인증 (MFA, FIDO2)
- 조건부 액세스 정책
- 이메일 보안 게이트웨이
- 사용자 교육

2계층: 탐지 (Detection)
- SIEM/SOAR 플랫폼
- UEBA(User and Entity Behavior Analytics)
- 위협 인텔리전스 피드
- 로그 모니터링

3계층: 대응 (Response)
- 자동화된 인시던트 대응
- 플레이북 기반 대응 절차
- 포렌식 툴킷
- 커뮤니케이션 플랜

공급망 보안

이메일 서비스 공급자 관리:
- 공급자 보안 평가
- SLA에 보안 요구사항 포함
- 정기 보안 감사
- 인시던트 공유 계약

AWS 보안 강화:
- IAM 액세스 키 정기 교체 (90일)
- 액세스 키 수명 제한 설정
- TruffleHog, GitSecret 등으로 리포지토리 스캔
- S3 버킷 액세스 제어 (퍼블릭 액세스 금지)
- AWS Config 규칙으로 보안 구성 모니터링

체크리스트

관리자용

  • [ ] 모든 사용자 계정에 MFA 활성화
  • [ ] 조건부 액세스 정책 구현 및 테스트
  • [ ] SPF, DKIM, DMARC 레코드 구성 및 모니터링
  • [ ] 이메일 보안 툴(Safe Links, Safe Attachments) 배포
  • [ ] 비피싱 저항성 MFA(FIDO2) 도입 검토
  • [ ] 로그인 이상 탐지 규칙 구성
  • [ ] 포렌식 로그 보존 정책 설정 (최소 90일)
  • [ ] 인시던트 대응 플레이북 작성 및 연습
  • [ ] 공급자(이메일 서비스, 클라우드) 보안 평가
  • [ ] 보안 인증 교육 프로그램 구현

사용자용

  • [ ] 의심스러운 이메일 수신 시 발신자 주소 확인
  • [ ] 링크 클릭 전 URL 검사 (마우스 오버)
  • [ ] 첨부파일 클릭 전 IT 부서 문의
  • [ ] 압박감 조성("즉시 조치 필요") 인지
  • [ ] 행동 강령 관련 이메일 검토 절차 숙지
  • [ ] 피싱 보고 방법 학습
  • [ ] 비밀번호 정기 변경 (90일)
  • [ ] 개인 기기에서 조직 리소스 접근 시 MFA 사용
  • [ ] 의심스러운 활동 발견 시 즉시 보고
  • [ ] 보안 교육 정기 이수

사고대응팀용

  • [ ] 인시던트 대응 플레이북 완료
  • [ ] 연락처 리스트 최신화 (보안팀, IT, 경영진, 법무)
  • [ ] 포렌식 툴 접근 권한 확인
  • [ ] 백업 및 복구 절차 검증
  • [ ] 커뮤니케이션 템플릿 준비
  • [ ] 법적 요구사항 준수 확인 (개인정보보호법 등)
  • [ ] 보험 커버리지 확인 (사이버 보험)
  • [ ] 정기 인시던트 대응 훈련 (연 2회 이상)
  • [ ] 위협 인텔리전스 피드 구독
  • [ ] 사후 검토 프로세스 문서화

참고문헌

공식 보고서

  • Microsoft Security Blog: "Microsoft Details Phishing Campaign Targeting 35,000 Users Across 26 Countries"
  • Microsoft Threat Intelligence: "Sophisticated Phishing Campaign Targeting US Organizations"
  • Microsoft Defender Security Research Team Analysis (Q1 2026)

뉴스 기사

  • The Hacker News: "Microsoft Details Phishing Campaign Targeting 35,000 Users Across 26 Countries" (2026-05-05)
  • SecurityWeek: "Microsoft Warns of Sophisticated Phishing Campaign Targeting US Organizations" (2026-05-05)
  • 보안뉴스: "아마존의 간편 이메일 서비스를 악용하는 피싱 이메일 급증" (2026-05-05)

기술 리소스

  • Microsoft Learn: "Conditional Access policies"
  • Microsoft Learn: "Protect against phishing attacks with Microsoft Defender for Office 365"
  • NIST SP 800-63B: "Digital Identity Guidelines"
  • CISA: "Phishing Infographic"
  • OWASP: "Credential Stuffing Prevention Cheat Sheet"

관련 위협 인텔리전스

  • Microsoft Security Intelligence: "Tycoon 2FA Phishing-as-a-Service"
  • Unit 42 (Palo Alto Networks): "QR Code Phishing Trends" (2026-02)
  • Kaspersky: "Amazon SES Abuse for Phishing Campaigns"

위협 레벨별 대응 우선순위

위협 레벨 즉시 대응 (24시간 이내) 단기 대응 (72시간 이내) 장기 대응 (1주 이내)
Critical 손상된 계정 즉시 잠금, 관리자 알림, 포렌식 시작, 비밀번호 강제 재설정 근본 원인 분석, 영향 범위 확정, 완료 조치 적용 보안 컨트롤 강화, 교육 프로그램 개선, 공급자 재평가
High 손상된 계정 식별 및 잠금, 로그 분석 시작, 사용자 알림 데이터 유출 확인, 시스템 격리, 보고서 작성 정책 검토, 툴 배포, 공급자 협의
Medium 이상 활동 모니터링, 사용자 교육, 정책 검토 탐지 규칙 개선, 훈련 실시 장기 보안 전략 수립
Low 정기 로그 검토, 교육 자료 업데이트 위협 인텔리전스 모니터링 보안 프로그램 지속 개선

본 콘텐츠는 AI 기술로 작성된 분석 리포트를 포함하고 있습니다. 내용 중 사실과 다르거나 보완이 필요한 정보를 발견하셨다면 댓글을 통해 의견을 부탁드립니다. 여러분의 피드백은 더 정확한 보안 정보 공유에 큰 도움이 됩니다.

← 목록으로 돌아가기

댓글 (0)

댓글을 작성하려면 로그인이 필요합니다.

로그인

아직 댓글이 없습니다.

첫 번째 댓글을 작성해보세요!

IT 도구 서랍

→ Unix: 2025-01-15T09:30:00
→ 날짜: 1736934600

→ ASCII: ABC
→ 문자: 65 66 67

ASCII 코드표 — 클릭하면 입력란에 추가

제어 문자 (0–31)

DecHex약어설명

출력 가능 문자 (32–126)

DecHex문자

확장 ASCII (128–255)

DecHex문자

→ 유니코드: 홍길동
→ 문자: \ud64d\uae38\ub3d9