EvilTokens와 OAuth 피싱: MFA를 우회하는 신종 보안 위협 분석

작성자:
요약 핵심 3가지

  • 1. EvilTokens는 다단계 인증(MFA) 이후의 OAuth 동의 단계에서 권한이 탈취되는 신종 피싱-as-a-Service(PhaaS) 위협을 제공한다.
  • 2. Microsoft 365 환경을 노리며 5개국 340여 조직에서 성공적으로 점유 계정이 발생했다.
  • 3. 기존 MFA만으로는 막을 수 없는 이슈로, OAuth 앱 승인 관리, 사용자 인식 강화, 비정상 OAuth 사용 탐지 등 새로운 보안 접근이 필요하다.

“기술이 아무리 발달해도, 사람과 프로세스의 빈틈을 노리는 공격 진화에 모두가 경계를 늦춰선 안 됩니다.”

서론: 진화하는 피싱 공격과 기업 보안의 과제

다단계 인증(MFA)을 마지막 보루로 여겨온 수많은 기업에게 EvilTokens 사태는 충격과 경각심을 동시에 안겼습니다. 2026년 2월, 피싱-애즈-어-서비스(PhaaS) 플랫폼 ‘EvilTokens’의 등장은 빠르게 세계 각지로 확산되며, 기업 보안 환경에 심각한 위기를 가져왔습니다. 단 5주 만에 5개국 340개 이상의 Microsoft 365 조직에서 계정 탈취에 성공함으로써, 기존 보안 체계의 취약점이 여실히 드러났습니다.

EvilTokens란? PhaaS 플랫폼의 확산과 위협

EvilTokens는 쉽고 빠르게 대규모 피싱 공격을 실행할 수 있도록 설계된 서비스형 피싱(PhaaS) 플랫폼입니다. 이 서비스는 높은 자동화와 확장성을 무기로, 공격 도구 개발 능력이 없어도 누구나 정교한 피싱 공격을 손쉽게 수행할 수 있게 합니다.

실제 피해는 상상 이상입니다. 이미 340개 이상의 기업이 영향받았고, 주요 타깃은 Microsoft 365를 활용하는 업무 환경입니다. 자동화된 캠페인 전파와 정교한 공격으로, 기존 방어체계로는 막기 힘든 공격임을 입증했습니다.

공격 방식: MFA 이후, OAuth 동의의 허점을 노린다

이 공격의 핵심은 ‘MFA를 우회’하는 것이 아니라 ‘MFA가 끝난 다음 단계’인 OAuth 동의 절차를 정조준한다는 점입니다. 일반적인 진행 절차는 다음과 같습니다.

  • 공격자는 사용자를 Microsoft 공식 로그인 페이지(microsoft.com/devicelogin)로 유도합니다.
  • 사용자는 익숙한 환경에서 MFA 절차를 정상적으로 모두 통과합니다.
  • MFA 이후 표시되는 ‘OAuth 앱 동의’ 페이지에서, 사용자는 허용 버튼을 무심코 클릭하게 되고, 이 과정에서 공격자 측 악성 애플리케이션에 실제 액세스 권한이 넘어갑니다.

결국 공격자는 비밀번호나 별도의 인증 정보를 직접 훔치지 않고도, OAuth 토큰을 통해 합법적으로 계정에 접근할 수 있습니다. ‘인증을 다 끝냈으니 안전하다’라는 인식이 오히려 독이 돼버린 사례입니다.

실제 피해 분석: 5개국 340개 조직에서 발생한 대규모 피해

피해를 입은 조직들은 대부분 Microsoft의 인증 플랫폼을 기반으로 운영 중인 기업들이었습니다. EvilTokens 공격 캠페인의 주요 특징은 아래와 같습니다.

  • 자동화를 통한 다수 타깃 및 동시 공격 확산
  • 공식 Microsoft 도메인과 거의 유사한 인터페이스로 사용자를 속임
  • 동의 기반의 권한 부여를 악용해 백엔드 탐지 우회·보안 경보 회피

정상 인증 과정과 구별하기 어렵고, 권한 부여 이후 탐지 시스템이 무력화되는 점이 특징입니다.

어떻게 이런 공격이 성공할 수 있었나?

사용자 인식 부족

많은 사용자는 ‘Microsoft에서 요청하는 것이니 안전하다’는 막연한 신뢰로 OAuth 동의를 무심코 승인합니다. 동의의 의미와 위험성을 명확히 아는 사용자는 많지 않습니다.

플랫폼 신뢰 심리 악용

microsoft.com/devicelogin 등 공식 도메인을 통한 정규 로그인 흐름이기 때문에 모든 과정이 정상처럼 느껴집니다. 이 신뢰를 타깃으로 공격은 치밀하게 설계됩니다.

PhaaS 기반 자동화와 대규모 방어 우회

PhaaS 모델은 하나의 취약점을 수백, 수천 단위로 대량 악용할 수 있기에, 전통적인 탐지·방어 체계를 여지없이 뚫어냅니다.

기업 보안 시스템의 교훈과 대응 방안

이 사태는 ‘인증’만으로는 부족하다는 뼈아픈 교훈을 제공합니다. 다음과 같은 구체적 대응 전략이 필요합니다.

  • OAuth 앱 승인 절차를 엄격하게 관리하고, 비인가 앱 접근을 철저히 제한해야 합니다.
  • 임직원 대상으로 OAuth 동의와 관련된 보안 교육을 체계적으로 시행해야 합니다.
  • 비정상적인 OAuth 토큰 사용 및 앱 등록 패턴을 모니터링하는 첨단 보안 솔루션을 도입하세요.
  • 조건부 접근 정책을 통해 OAuth 관련 로그인에 추가적인 보안 단계를 적용하는 것도 필요합니다.

맺음말: 새로운 피싱 위협, 새로운 보안 인식

EvilTokens 사태는 ‘MFA만 적용하면 안심’이라는 기존의 인식을 송두리째 흔듭니다. 인증 그 이후 단계인 ‘권한 부여’에서 발생하는 위협에 대비하기 위해, 기업은 단순 기술적 강화뿐만 아니라 프로세스와 사람의 보안 의식까지도 함께 점검해야 합니다. EvilTokens 사례는 사람과 기술, 관리 체계 삼각 축의 균형적 접근이 무엇보다 중요함을 강하게 시사합니다.

  • 다단계 인증(MFA)만으론 충분하지 않으며, OAuth 권한 부여 단계에서의 새로운 위협에 대비해야 합니다.
  • 플랫폼 신뢰와 사용자 인식 미흡이 대규모 피해로 이어질 수 있으므로 보안 교육과 앱 승인 관리가 매우 중요합니다.
  • 공격 자동화와 탐지 회피 기술이 고도화되고 있음을 인지하고, 보안 솔루션 업그레이드를 고민해야 합니다.

TAG : OAuth 피싱, MFA 우회, EvilTokens 분석, 마이크로소프트 365 보안, 피싱 대응, 기업 보안, 보안 위협 트렌드

댓글 남기기