디바이스 코드 피싱: 진화하는 2FA 해킹, 사용자를 노리는 ‘신종 인증 우회’ 경고

최근 피싱 공격의 진화와 새로운 위협

피싱 공격은 단순한 이메일 위조에서부터 AI 기반 표적 공격까지 다양한 방식으로 진화해왔습니다. 그중에서도 가장 두드러진 변화는 바로 2단계 인증(2FA)을 노린 공격 방식에 나타납니다. 기존 SMS OTP(일회성 비밀번호)나 앱 기반 인증 정보를 가로채는 전술이 보안 시스템에 의해 점차 탐지·차단되면서, 공격자들은 더욱 정교한 새로운 경로를 모색하기 시작했습니다.

그 결과 등장한 것이 바로 ‘디바이스 코드 피싱(Device Code Phishing)’입니다. 이 기법은 합법적인 디바이스 인증 흐름을 역이용하여 사용자의 인증 세션을 탈취하는 방식으로, 기존 피싱보다 한 차원 높은 위협을 제시합니다.

Tycoon 2FA 그룹: 피싱 공격의 진화 주역

Tycoon 2FA는 피싱 공격에 특화된 집단으로, 기업 및 금융기관의 일반 사용자들을 대상으로 2FA 우회 피싱 캠페인을 지속적으로 벌여왔습니다. 이 조직은 2FA 인증 체계의 구조적 취약점을 체계적으로 노려온 점에서, 단순 피싱 조직과 구별됩니다.

초기에는 피싱 사이트를 통해 사용자의 아이디와 비밀번호를 입력받고, 실시간으로 2FA 코드를 가로채는 ‘인라인 공격’ 방식을 주로 사용했습니다. 이 방식은 사용자가 인증 코드를 입력하는 순간 공격자 서버에 정보가 전달되어 계정 접근을 허용했습니다.

하지만 Microsoft, Google 등 주요 플랫폼에서 이 패턴에 대한 탐지와 차단 기법을 강화하자, Tycoon 2FA는 점차 전략을 바꿨고 최근에는 디바이스 코드 피싱을 주력 수단으로 삼고 있습니다.

디바이스 코드 피싱의 작동 원리

디바이스 코드 피싱의 핵심은 합법적인 인증 프로토콜의 ‘디바이스 인증 흐름’을 공격에 악용한다는 점입니다. OAuth 기반 현대 인증 시스템에서는 스마트폰이나 PC 등 새로운 디바이스에서 로그인을 시도하면 ‘디바이스 코드’라는 임시 코드가 발급됩니다.

정상적인 경우, 사용자는 새 디바이스에 표시된 짧은 코드를 자신의 스마트폰이나 컴퓨터에서 입력해 인증을 완료합니다. 이 방식은 기존에는 비밀번호 직접 입력보다 안전하다고 여겨졌습니다.

하지만 공격자는 피싱 페이지에서 “Microsoft 계정 보안 확인” 등의 문구로 사용자가 디바이스 코드를 입력하도록 유도합니다. 사용자가 코드를 입력하는 순간, 공격자는 해당 인증 세션을 가로채 계정 접근 권한을 얻습니다.

이 방식의 가장 큰 위험은 사용자가 직접 인증 단계를 수행한다는 데 있으며, 플랫폼 입장에선 정상 로그인으로 탐지되어 기존 방식보다 걸러내기 어렵습니다.

기존 2FA 피싱과의 차이점 및 위험 포인트

기존의 2FA 피싱, 특히 OTP 가로채기(중간자 공격)와 디바이스 코드 피싱을 비교하면 중요한 차이점이 있습니다.

첫째, 디바이스 코드 피싱은 공격의 은밀성이 높습니다. 플랫폼 API의 공식 인증 흐름 내에서 이뤄지기 때문에, 트래픽 패턴 상 정상 로그인과 구별이 어렵습니다.

둘째, 사용자가 스스로 2FA 과정을 거치기 때문에 로그상으로는 “성공한 다단계 인증”으로 남게 되고, 해당 세션 토큰은 추가 의심 없이 다양한 리소스 접근에 사용될 수 있습니다.

셋째, 하드웨어 보안 키 사용자도 위협에 노출될 수 있습니다. 공격자가 디바이스 코드 인증 흐름을 성공시킬 경우, 하드웨어 토큰의 보호 범위를 벗어나 세션 권한 남용이 가능합니다.

실제 공격 사례와 주요 표적

Tycoon 2FA 그룹의 디바이스 코드 피싱 활동은 주로 해외 기업 환경에서 확인되고 있습니다. 다수의 보안 저널에 따르면, 이 조직은 Microsoft 365와 Google Workspace 사용자를 주요 표적으로 지목해 금융 데이터, 지식재산, 내부 문서 접근을 시도했습니다.

특히 원격근무가 늘어 개인 디바이스에서 기업 리소스에 접근하는 환경이 늘어나면서 공격 표면도 넓어졌습니다. 피싱 캠페인은 실제 로그인 페이지와 유사한 화면, 합법적인 인증창 등 사회공학 기법과 결합돼 사용자의 경계심을 약화시켰습니다.

Microsoft와 Google은 최근 자사 보안 블로그를 통해 디바이스 코드 피싱 위험과 방지 방안, 추가 보호책 도입 방침을 공개적으로 밝힌 바 있습니다.

대응 방안: 사용자와 기업의 예방 전략

디바이스 코드 피싱을 방어하려면 개인과 기업 모두 적극적이고 다층적인 방안이 필요합니다.

개인 사용자는 인증 코드 또는 디바이스 코드를 절대 타인과 공유하거나, 의심스러운 경로로 입력하지 않아야 합니다. Microsoft, Google 등 어디에서도 추가 ‘디바이스 코드’ 입력을 요구하지 않습니다. 이런 요청이 오면 즉시 피싱을 의심해야 합니다.

또한 불필요하게 등록된 디바이스는 즉시 해제하고, 주기적인 세션 및 로그인 내역 점검이 필수적입니다. 의심스러운 세션이 확인됐을 경우, 즉각적 세션 강제 종료와 비밀번호 변경을 해야 합니다.

조직 차원에서는 조건부 접근 정책 강화, 새 디바이스 접근 알림 도입, 직원 대상 피싱 시뮬레이션 교육 등 보안 인식 고취 활동이 중요합니다.

결론: 인증 보안 패러다임의 변화와 시사점

Tycoon 2FA의 디바이스 코드 피싱은 단순한 공격 방법의 변화가 아니라 인증 보안 자체에 대한 근본적 재확립을 요구하는 메시지입니다. 다단계 인증이더라도 인증 흐름의 약점이 악용될 수 있다는 점은 “2FA만 있으면 안전하다”는 통념을 깨뜨립니다.

향후 하드웨어 보안 키, 맥락 인식 기반 인증, 지속적 인증 등 차세대 인증 패러다임에 대한 고민과 투자가 더욱 중요해질 전망입니다. 사용자, 기업, 플랫폼 모두 기존 안전망에 안주하지 않고, 끊임없이 변화하는 위협에 맞서 능동적으로 보안 체계를 강화해야 합니다.