- FBI, Kali365 피싱 플랫폼을 통한 Microsoft 365 계정 대상 대규모 MFA 우회 및 세션 토큰 탈취 공격 공식 경고
- OAuth 디바이스 코드 인증 흐름 악용으로 사용자가 합법적 인증 화면을 보아도 피싱 여부 파악이 어려움
- PhaaS 서비스 산업화로 공격 진입 장벽은 낮아지고 조직 보안 전략의 고도화 필요성 대두
신뢰 기반 인증 체계도 더 이상 절대 안전하지 않습니다. 보안은 “모두의 문제”임을 기억해야 할 때입니다.
FBI, Kali365 피싱 플랫폼 경고…조직 보안에 커진 부담
미국 연방수사국(FBI)은 2024년 6월 21일, Kali365이라는 피싱 플랫폼(Phishing-as-a-Service, PhaaS) 활동에 대해 공식 경고를 발표했습니다. 이 피싱 서비스는 Microsoft 365 사용자를 겨냥해 OAuth 디바이스 코드 인증 방식을 악용, 다중인증(MFA) 절차를 우회하고 세션 토큰을 탈취하는 고도화된 공격을 제공하고 있습니다. FBI가 직접 경고를 낸 만큼, 국제적으로 위협 수준이 매우 높게 평가됩니다.
Kali365 서비스 구조: 공격 자동화와 유통
Kali365는 피싱 기술과 공격 인프라를 패키지화해 판매하는 서비스형 피싱(PhaaS) 모델을 적용했습니다. 보안 지식이 부족한 공격자도 Kali365에 가입만 하면 월정액 또는 일회성 결제로 전문적인 피싱 키트, 피싱 랜딩 페이지, 인증 우회 도구, 데이터 수집 기능까지 손쉽게 이용할 수 있습니다.
이 서비스 구조의 핵심 문제는 ‘공격의 민주화’에 있습니다. 과거 고급 위협 그룹만 접근 가능했던 OAuth 악용 기법이 이제 일반 범죄조직도 사용할 수 있게 된 것입니다.
공격 원리 – OAuth 디바이스 코드 인증 악용
Kali365 공격의 본질은 OAuth 2.0 디바이스 코드 인증 흐름을 노리는 점에 있습니다. 이 인증 방식은 스마트TV 등 입력이 불편한 기기에서 사용자를 보조하기 위해 설계되었으며, 사용자가 별도 기기에서 코드를 입력하면 인증이 완료되는 구조입니다.
실제 공격은 먼저, 공격자가 Microsoft 365 로그인 화면과 유사한 피싱 페이지를 보여줍니다. 이어 사용자가 ‘디바이스 코드’를 입력할 것을 유도하고 진짜 Microsoft 서버의 코드 입력 사이트(예: microsoft.com/devicelogin) 주소를 안내합니다. 사용자가 정상 인증 화면에서 로그인하면, 공격자는 이 과정을 가로채 세션 토큰을 탈취합니다. 사용자가 합법적인 인증 화면을 보게 되므로, 피싱 공격임을 인지하기 상당히 어렵다는 점이 큰 위험 요소입니다.
MFA 우회와 세션 토큰 탈취 방식
이전에 유출된 정보가 단순히 비밀번호 수준이었다면, Kali365의 방식은 인증이 끝난 뒤에도 추가 인증이 필요 없는 세션 토큰 자체를 훔칩니다. 결과적으로 MFA까지 통과한 세션을 그대로 공격자가 제어할 수 있게 됩니다.
공격자는 탈취한 세션 토큰을 통해 사용자의 메일함, 문서, Teams 메시지, SharePoint 등 조직의 내부 자산에 제한 없이 접근할 수 있습니다. 사용자가 비밀번호를 바꿔도 이미 활성화된 세션이면 효력이 없습니다. FBI는 공격 기법의 상업화로 인해 “일반 조직의 기존 보안 전략만으로는 방어가 점점 더 어려워지고 있다”고 강조했습니다.
피해 유형 및 산업별 영향
Kali365 기반 공격은 특정 분야에 머물지 않습니다. 다양한 산업과 유형의 조직이 모두 표적이 될 수 있습니다.
특히, 재택 및 원격근무가 활발한 곳, SSO(통합인증) 체계를 광범위하게 쓰는 기업, 외부 파트너 및 협력사와 파일 공유가 빈번한 조직에서 위험도가 매우 높게 나타납니다. 금융·의료·기술 등 민감한 정보를 다루는 기관은 더욱 각별한 주의가 필요합니다.
PhaaS 시장 동향과 위협의 진화
Kali365 외에도 Scatter, ROCKSTAR, Greatness 등 다양한 피싱 서비스들이 기존 수법을 고도화·고도화하고 있습니다. 이들 서비스로 인해 피싱 진입 장벽은 더 낮아지고, 범죄조직과 랜섬웨어 그룹까지 공격을 시도하는 환경이 형성되고 있습니다.
조직이 취할 즉각적 대응책
기존 비밀번호·인증 기반 시스템만으로는 방어에 한계가 뚜렷함이 확인되었습니다. 주요 대응책은 다음과 같습니다.
- 조건부 접근 정책(Conditional Access Policy) 도입: 미확인 IP나 비정상 위치 접속 시 추가 인증 필수화
- 불필요한 OAuth 앱 접근 및 동의 요청 사전 차단, 관리 대상 앱만 허용 방식 적용
- 세션 관리 고도화 – 세션 수명 제한, 비활성 세션 자동 종료, 세션 패턴 실시간 이상징후 탐지 등 실시
- 직원 대상 보안 인식 교육 강화: 디바이스 코드 방식 인증 요청에 주의, 예상치 못한 인증창 즉시 보안팀 신고 문화 정착
결론: 누구나 노출될 수 있는 현실, 방어 체계 고도화 필수
FBI의 Kali365 경고는 피싱이 더 이상 주의력 부족 직원에게만 일어나는 일이 아니라, 모든 사용자가 정교하게 노출될 수 있음을 의미합니다.
특히 Microsoft 365 등 클라우드 업무 플랫폼을 사용하는 조직이라면, 조건부 접근 정책 재점검, 앱 동의 정책 검토, 세션 모니터링 강화, 보안 교육 프로그램 운영이 시급합니다. 공격이 점점 진화하는 만큼, 조직 역시 사람과 기술이 조화된 보안 전략으로 대응하지 않는다면 다음 피해 사례의 주인공이 될 수 있음을 명심해야 합니다.
- MFA까지 우회하는 신종 피싱 방식은 누구에게나 현실 위협입니다.
- 세션 토큰을 탈취당하면 정보 유출 피해 범위가 크게 확대됩니다.
- 현장 중심 보안 정책 점검과 직원 인식 개선이 예방의 시작입니다.