DEEP DIVE REPORT

SaaS 보안: 계정 도용(Account Takeover) 공격의 새로운 패턴

SecurityDesk
2026.04.07 조회 25

요약

최근 SaaS 플랫폼에서 피싱이 아닌 정교한 기법을 통한 계정 도용(Account Takeover, ATO) 공격이 급증하고 있습니다. 2024년 ATO 공격은 250% 증가했으며, 미국 FBI에 따르면 2025년 상반기에만 $262 million의 피해가 발생했습니다. Microsoft는 2024년 대비 146%의 AiTM(Adversary-in-the-Middle) 피싱 증가를 보고했고, Scattered Spider와 같은 조직화된 위협 그룹이 MFA 우회 기법과 세션 하이재킹을 활용해 SaaS 플랫폼을 노리고 있습니다.

핵심 위협: 피싱이 아닌 Adversary-in-the-Middle, Cookie 탈취, 세션 하이재킹 기법이 MFA를 우회하고 있으며, SaaS 플랫폼(Microsoft 365, Google Workspace, Salesforce 등)의 세션 기반 인증이 취약점으로 지적되고 있습니다.

본론

1. 최신 ATO 공격 패턴 수집

1.1 Adversary-in-the-Middle (AiTM) 공격

AiTM 공격은 전통적인 피싱과 달리 중간자 공격자가 사용자와 정상 로그인 페이지 사이에서 세션을 가로채는 방식입니다.

기술적 특징:
- 역방향 프록시(Reverse Proxy)를 사용해 공격자 서버를 통해 트래픽 전달
- 사용자는 정상 로그인 경험을 유지하나, 인증 토큰을 공격자가 가로챔
- MFA 코드도 실시간으로 공격자 서버에서 정상 서버로 전달 (MFA 우회)

실제 사례:
- Scattered Spider: 2022년부터 활동 중인 금전적 동기의 위협 그룹으로, AiTM 피싱, SIM 스왑, 헬프데스크 인격 모사(impersonation) 등을 조합하여 Okta, Duo, OneLogin 등 IdP(Identity Provider)를 타겟팅
- EvilProxy: 피싱-서비스(PhaaS) 플랫폼으로, Apple, Google, Facebook, Microsoft, Twitter, GitHub, GoDaddy, PyPI 등 다양한 SaaS 플랫폼의 인증 토큰을 탈취하여 MFA 우회

1.2 Cookie 탈취 및 세션 하이재킹

최신 ATO 공격에서 가장 빈번하게 발생하는 기법입니다. 2024년 가장 활발했던 공격 벡터로, 많은 고프로파일 플랫폼이 세션 하이재킹에 타격을 입었습니다.

기술적 특징:
- 브라우저 확장 프로그램을 통해 인증된 SaaS 세션을 탈취
- 한 번 세션을 탈취하면 MFA, IP, 기기 신뢰, 활동 정합성 등 전통적인 보안 통제가 무력화됨
- 악성 확장 프로그램은 정상 기능을 가장해 업데이트 시점에 공격 시작

실제 사례:
- ShadyPanda: 4.3M 설치량을 가진 Chrome 확장 프로그램이 악성 업데이트를 통해 SaaS 세션을 원격으로 탈취
- Reprompt Attack: Microsoft Copilot 세션을 하이재킹하여 중요 정보를 탈취하는 새로운 공격
- Telegram 세션 하이재킹: 사용자가 공격자 기기를 제거하지 못하여 매일 세션이 재탈취되는 사례

1.3 인포스틸러(Infostealer) 및 OAuth 토큰 탈취

기술적 특징:
- Redline, Stealc, Lumma 등 인포스틸러 맬웨어가 브라우저 쿠키와 OAuth 토큰을 탈취
- 비밀번호를 다시 입력하지 않아도 세션 탈취로 계정 장악 가능
- IdP(IdP) 연동 세션을 탈취하여 하나의 탈취로 여러 SaaS 플랫폼에 접근

2. 기술적 분석: MFA 우회 및 세션 하이재킹

2.1 MFA 우회 기법

기법 작동 원리 완화 방법
AiTM 피싱 중간자 프록시가 인증 토큰을 가로챔 FIDO2/WebAuthn (피싱 저항 인증)
MFA 피로(MFA Fatigue) 연속 MFA 프롬프트로 사용자 압박 Number Matching (숫자 매칭)
SIM 스왑 모바일 통신사 고객센터를 인격 모사하여 SMS OTP 탈취 SMS 기반 MFA 폐지, 앱 기반 OTP 사용
OTP 봇(OTP Bots) 실시간 SMS OTP 가로채기 FIDO2/WebAuthn, 하드웨어 키

핵심 통찰: Microsoft의 2024년 보고서에 따르면 하루 6억 건 이상의 신원 공격 중 99%가 비밀번호 기반이며, MFA 단독으로는 ATO를 막을 수 없습니다.

2.2 세션 하이재킹 기술적 세부

브라우저 확장 프로그램 공격:
1. 정상 기능을 가장해 높은 평가와 설치량 확보
2. 악성 업데이트를 통해 백도어 주입
3. 배경에서 SaaS 플랫폼(구글 워크스페이스, Microsoft 365, Salesforce, HubSpot)의 인증 쿠키 및 세션 토큰 수집
4. 공격자 서버로 exfiltration

세션 탈취 후 영향:
- MFA 우회 (이미 인증된 세션)
- IP 정상 (공격자는 탈취된 세션으로 정상 IP 사용)
- 기기 신뢰 (장치 정합성 우회)
- 활동 정상 (트래픽 패턴이 정상 사용자와 유사)

3. 영향 평가: SaaS 플랫폼별 위험성

SaaS 플랫폼 주요 위협 타격 정도 우려되는 영향
Microsoft 365 AiTM 피싱, 세션 탈취 높음 이메일, 팀즈, SharePoint 데이터 탈취
Google Workspace OAuth 토큰 탈취, 세션 하이재킹 높음 Gmail, Drive, Calendar 권한 탈취
Salesforce 세션 하이재킹 중간 CRM 데이터, 고객 정보 탈취
Okta/Duo/OneLogin IdP 공격(Scattered Spider) 매우 높음 하나의 탈취로 연동된 모든 앱 장악
Slack/Teams 세션 하이재킹 중간 내부 커뮤니케이션, 파일 유출

심각도:
- IdP(IdP) 탈취: 가장 위험. 하나의 탈취로 연동된 모든 SaaS 플랫폼 장악 가능
- Microsoft 365/Google Workspace: 데이터량과 연동성 때문에 가장 자주 타겟팅
- AI 플랫폼(Microsoft Copilot, ChatGPT): 세션 하이재킹으로 중요 정보 탈취(Reprompt Attack)

4. 대응 방안

4.1 탐지

  1. 세션 이상 탐지:
  2. 불가능한 여행(Impossible Travel) 감지: 단일 세션으로 지리적으로 불가능한 거리 이동

  3. 새로운 장치에서의 세션 생성 알림

  4. 브라우저 확장 프로그램 모니터링:

  5. Shadow IT 도구로 위험 확장 탐지

  6. Enterprise 브라우저 정책으로 신뢰할 수 있는 확장만 허용

  7. 로그 분석:

  8. 비정상적인 세션 라이프사이클 감지 (짧은 수명 후 급격한 활동 감소)
  9. 비정상 IP 범위 및 국가에서의 세션 감지

4.2 MFA 강화

조치 효과 우선순위
FIDO2/WebAuthn 도입 피싱 저항, 물리적 키 필요 [긴급]
SMS 기반 MFA 폐지 SIM 스왑 공격 방지 [긴급]
앱 기반 OTP(Microsoft Authenticator, Google Authenticator) SMS보다 안전 [고위험]
Number Matching 도입 MFA 피로 방지 [고위험]
하드웨어 키(YubiKey 등) 가장 높은 보안 [중위험]

참고: FIDO2/WebAuthn은 공개 키 암호화를 사용하여 피싱 및 중간자 공격에 저항하며, Microsoft와 Google이 백엔드 지원을 권장합니다.

4.3 세션 관리

  1. 세션 라이프사이클 최적화:
  2. 짧은 세션 만료 시간 설정 (예: 1시간 미만)

  3. 비활동 시 자동 로그아웃

  4. 세션 바인딩:

  5. 세션을 기기, 브라우저, IP에 바인딩

  6. 바인딩 변경 시 재인증 요구

  7. 쿠키 보안:

  8. HttpOnly, Secure, SameSite=Strict 쿠키 속성 적용

  9. JWT(JSON Web Token) 만료 시간 최소화

  10. OAuth 및 API 토큰 관리:

  11. 최소 권한 원칙 적용
  12. 토큰 만료 시간 최소화 (예: 15분)
  13. 재발급 토큰(Refresh Token) 보안 강화

4.4 사용자 교육 및 인식

  1. 피싱 인식 교육:
  2. URL 확인, 인증서 검증 교육

  3. 이상한 프롬프트 및 연속 MFA 요청 시 보고 프로세스

  4. 브라우저 확장 프로그램 주의사항:

  5. 설치 전 평가 및 신뢰할 수 있는 소스 확인

  6. 업데이트 알림 및 변경 내용 확인

  7. 비밀번호 관리:

  8. 고유 비밀번호 사용 (크리덴셜 스터핑 방지)
  9. 비밀번호 관리자 도구 사용

결론

SaaS 플랫폼에서의 ATO 공격은 피싱에서 더 정교한 기법으로 전이하고 있습니다. AiTM 공격, 세션 하이재킹, 인포스틸러 등은 MFA를 우회하고 전통적인 보안 통제를 무력화합니다. Microsoft 365, Google Workspace, Salesforce 등 주요 SaaS 플랫폼은 IdP 탈취로 가장 높은 위험에 노출되어 있습니다.

핵심 메시지:
1. MFA만으로는 ATO를 막을 수 없습니다. FIDO2/WebAuthn으로 피싱 저항 인증으로 전환해야 합니다.
2. 세션 관리(만료, 바인딩, 쿠키 보안)가 중요합니다.
3. 브라우저 확장 프로그램 및 OAuth 토큰 탈취에 대한 모니터링이 필요합니다.
4. 탐지(세션 이상, 불가능한 여행)와 사후 대응 프로세스를 구축해야 합니다.

대응 방안 체크리스트

위협 레벨 즉시 대응 (24시간 이내) 단기 대응 (72시간 이내) 장기 대응 (1주 이내)
Critical FIDO2/WebAuthn 도입 계획 수립, SMS 기반 MFA 폐지 계획 앱 기반 OTP 도입, Number Matching 도입 하드웨어 키 도입, 세션 바인딩 구현
High 브라우저 확장 프로그램 정책 수립, 세션 라이프사이큜 검토 불가능한 여행 탐지 구현, 쿠키 보안 속성 적용 OAuth 토큰 만료 시간 최소화, 세션 만료 시간 최적화
Medium 사용자 교육 자료 작성, 피싱 시뮬레이션 계획 로그 분석 규칙 구현, 세션 이상 탐지 IdP(IdP) 하드닝, 연동 앱 보안 검토
Low 보안 정책 검토, 위험 평가 수행 모니터링 도구 평가, 벤더와 협의 전체 보안 아키텍처 최적화

참고문헌

  1. Kasada - 2025 Account Takeover Attack Trends Report (2025년 4월)
  2. URL: https://www.kasada.io/wp-content/uploads/2025/04/Kasada-2025-Account-Takeover-Attack-Trends-Report.pdf

  3. ATO 공격 250% 증가, 크리덴셜 스터핑 캠페인 급증

  4. FBI - Account Takeover Fraud Caused $262 Million in Losses in 2025

  5. URL: https://www.securityweek.com/account-takeover-fraud-caused-262-million-in-losses-in-2025-fbi/

  6. 2025년 상반기 ATO 피해 $262 million

  7. Frontegg - What Is Account Takeover (ATO) & How to Prevent It

  8. URL: https://frontegg.com/glossary/account-takeover-ato

  9. Microsoft 2024년 AiTM 피싱 146% 증가

  10. Security Boulevard - Account Takeover (ATO) Attacks Explained

  11. URL: https://securityboulevard.com/2026/01/account-takeover-ato-attacks-explained-detection-prevention-mitigation/

  12. 세션 토큰 탈취, OAuth 자격증명 도용, 신뢰 연동 남용

  13. Obsidian Security - What is Account Takeover? ATO Attacks Explained

  14. URL: https://www.obsidiansecurity.com/blog/account-takeover-ato-attacks-explained

  15. AiTM 피싱으로 세션 토큰 탈취, MFA 우회

  16. Abnormal AI - MFA Bypass: How & Why It Works

  17. URL: https://abnormal.ai/glossary/mfa-bypass

  18. SIM 스왑, 소셜 엔지니어링, 프롬프트 폭격, AiTM으로 MFA 우회

  19. Ping Identity - Is MFA Enough to Stop Adversary-in-the-Middle Attacks?

  20. URL: https://www.pingidentity.com/en/resources/blog/post/adversary-middle-attacks.html

  21. PhaaS(Phishing-as-a-Service)와 AiTM 공격

  22. Kasada - 4 Data-Driven Takeaways from 2025 Account Takeover Trends

  23. URL: https://www.kasada.io/4-takeaways-2025-account-takeover-trends

  24. 리테일러 Black Friday에 봇 기반 로그인 32배 증가, 72% 악성 봇

  25. Checkpoint - Account Takeover (ATO) Prevention

  26. URL: https://www.checkpoint.com/cyber-hub/threat-prevention/what-is-account-takeover-ato/account-takeover-prevention/

  27. MITM 공격으로 인증 토큰 탈취, MFA 우회

  28. Vectra AI - Can account takeover bypass multi-factor authentication (MFA)?

    • URL: https://www.vectra.ai/topics/account-takeover
    • 실시간 피싱, MFA 피로, 세션 하이재킹, OAuth 토큰 탈취

본 콘텐츠는 AI 기술로 생성된 분석 리포트를 포함하고 있습니다. 내용 중 사실과 다르거나 보완이 필요한 정보를 발견하시면 댓글을 통해 소중한 의견 부탁드립니다. 여러분의 피드백은 더 정확한 보안 정보 공유에 큰 도움이 됩니다.

← 목록으로 돌아가기

댓글 (0)

댓글을 작성하려면 로그인이 필요합니다.

로그인

아직 댓글이 없습니다.

첫 번째 댓글을 작성해보세요!

IT 도구 서랍

→ Unix: 2025-01-15T09:30:00
→ 날짜: 1736934600

→ ASCII: ABC
→ 문자: 65 66 67

ASCII 코드표 — 클릭하면 입력란에 추가

제어 문자 (0–31)

DecHex약어설명

출력 가능 문자 (32–126)

DecHex문자

확장 ASCII (128–255)

DecHex문자

→ 유니코드: 홍길동
→ 문자: \ud64d\uae38\ub3d9