2026년 7월 1일자로 공개된 보안 보고서에 따르면 Microsoft Azure CLI(명령줄 인터페이스)를 대상으로 한 대규모 자동화 패스워드 스프레이 공격이 진행 중이며, 최소 78개의 Microsoft 계정이 침해된 것으로 확인되었습니다. 보안 회사 Huntress의 분석 결과 이번 공격은 IPv6 주소 대역 2a0a:d에서 발원했고 누적 인증 시도는 8100만 회를 넘어섰습니다. 본 글은 공격의 기술적 특징과 한국 클라우드 운영 환경에 미치는 영향을 정리하고, Entra ID 기반 인증 체계의 보안 강화 포인트를 제시합니다.
핵심 요약
- Azure CLI를 대상으로 IPv6 2a0a:d 대역에서 발원한 자동화 패스워드 스프레이 공격이 진행형으로 관측됨
- 누적 인증 시도 8100만 회 이상 발생, 최소 78개 Microsoft 계정 침해가 확인됨
- 보안 회사 Huntress가 추적 중이며 Entra ID 조건부 액세스와 MFA 강화가 핵심 대응 과제로 부상함
전통적인 엔드포인트 보안만으로는 차단이 어려운 클라우드 인증 경로 자체를 노린 대규모 자동화 공격 사례로, 한국 기업의 Azure 운영 체계 점검이 시급합니다.
공격 개요 Azure CLI를 노린 8100만 회 인증 시도의 실체
Huntress가 추적한 공격 인프라와 IPv6 주소 대역 2a0a:d
이번 공격의 출발점은 IPv6 주소 대역 2a0a:d에서 운영되는 인프라로 보고되었습니다. The Hacker News의 2026년 7월 1일자 기사에 따르면 Huntress 연구팀은 2a0a:d 대역에서 짧은 시간 동안 회전하는 다수의 IPv6 주소를 통해 인증 시도가 분산되는 패턴을 포착했습니다. 단일 IP에 의존하던 패스워드 스프레이와 달리 IPv6의 광대한 주소 공간을 활용한 점이 이번 캠페인의 특징으로 분석됩니다.
기존 패스워드 스프레이 대비 이례적인 8100만 회 시도 규모
Huntress가 집계한 누적 인증 시도 수는 8100만 회를 상회합니다. 일반적인 패스워드 스프레이는 계정 잠금 정책 회피를 위해 느린 시도 속도를 유지하지만, 이번 사례에서는 분산 인프라를 활용해 짧은 시간 안에 대규모 시도가 이뤄진 것으로 추정됩니다. 시도의 절대 규모 측면에서 기존 관측 사례 대비 이례적인 수준으로 평가됩니다.
침해된 최소 78개 Microsoft 계정의 특징과 권한 등급
보고된 78개 침해 계정은 Microsoft Entra ID(구 Azure AD) 기반 일반 사용자 및 서비스 주체 계정이 혼재된 것으로 보입니다. Huntress는 침해된 계정 다수가 Azure 리소스 배포 또는 CLI 자동화 스크립트에 사용된 자격 증명이라고 추정했습니다. 정확한 권한 등급과 영향 범위는 Huntress의 후속 공개 보고서를 통해 추가 확인이 필요한 부분으로 분석됩니다.
공격 메커니즘 Azure CLI 인증 흐름과 취약 지점
OAuth 토큰 및 서비스 주체 인증 경로 악용 가능성
Azure CLI는 내부적으로 OAuth 2.0 토큰 발급 흐름을 사용해 인증을 수행합니다. 공격자는 일반 사용자 계정뿐 아니라 서비스 주체(Client ID 기반) 자격 증명을 동시에 대상으로 삼아 토큰 발급 엔드포인트에 대한 대량 인증 요청을 시도한 것으로 추정됩니다. 이 경로는 사용자 인터랙션 없이 토큰을 발급받을 수 있어 자동화 공격에 특히 취약한 면이 있습니다.
SDK 및 CLI 도구의 장기 발급 토큰 노출 위험
Azure CLI와 Python용 SDK는 기본적으로 비교적 긴 유효 기간의 액세스 토큰을 발급합니다. 일단 발급된 토큰은 후속 API 호출에서 재사용되므로, 단일 인증 시도가 성공하면 이후 1시간 이상 동일 권한이 유지될 수 있습니다. 따라서 인증 시점에서의 차단 여부가 침해 확산을 좌우하는 핵심 변수로 작용합니다.
자동화 봇넷의 인증 시도 패턴과 페이로드 특징
Huntress가 관측한 페이로드는 일반적인 단일 패스워드 목록이 아니라 계정별로 흔히 사용되는 한국어, 영어, 숫자 조합을 혼합한 변형 패스워드를 반복 투입한 특징을 보였습니다. 헤더 위장과 User-Agent(사용자 에이전트) 회전도 함께 수행해 단순한 시그니처 기반 탐지를 우회한 것으로 분석됩니다. 다만 정확한 봇넷의 구성과 C2(명령 제어 서버) 정보는 공개 자료에 명시되지 않아 추가 조사가 필요한 영역입니다.
영향과 확산 가능성 클라우드 환경으로 번지는 패스워드 스프레이
국내 Microsoft 365 및 Azure 도입 기업 확대에 따른 잠재 표적 규모
한국 시장은 Microsoft 365와 Azure를 도입한 기업의 비율이 지속적으로 증가해 온 것으로 보고됩니다. 이러한 환경에서 CLI 기반 자동화 배포는 데브옵스 파이프라인의 핵심 요소로 자리 잡았으며, 동시에 자격 증명의 노출 표면도 확대되었습니다. 향후 유사 공격이 한국 기업 클라우드 환경으로 확산될 가능성은 추측 영역으로, 별도 검증이 필요합니다.
파트너 공급망과 SaaS 연계 계정의 연쇄 침해 위험
침해된 계정이 SaaS(Software as a Service) 솔루션 연계, 공급망 통합, B2B 협업 포털에 SSO(싱글 사인온)로 연결되어 있다면 단일 계정 침해가 다수 협력사 시스템으로 연쇄 확대될 수 있습니다. 특히 클라우드 자격 증명은 내부 AD(Active Directory) 도메인 관리자보다 더 광범위한 SaaS 권한을 보유한 경우가 많아 2차 피해 규모가 클 수 있습니다. 정확한 피해 확산 통계는 추후 추가 공개가 필요한 부분입니다.
위험 요소 요약 표
| 위험 항목 | 주요 특징 | 잠재 영향 |
|---|---|---|
| IPv6 대역 분산 시도 | 2a0a:d 대역 회전 IP 다량 활용 | 기존 IP 차단 룰 우회 |
| CLI 인증 경로 표적화 | OAuth 토큰 발급 엔드포인트 집중 공격 | 장기 토큰 탈취 가능성 |
| 자동화 대량 시도 | 8100만 회 이상 누적 | 계정 잠금 정책 회피 시도 |
| 공급망 연계 노출 | SaaS SSO 연동 계정 침해 | 협력사 시스템 연쇄 침해 위험 |
대응과 권고사항 실무자가 즉시 적용해야 할 통제 항목
Entra ID 조건부 액세스 정책 및 MFA 강화 방안
Entra ID 조건부 액세스 정책을 활용해 다음과 같은 통제가 권장됩니다.
- 위험 기반 MFA 강제 및 레거시 인증 프로토콜 차단
- 관리자 역할 계정에 대한 인증 강도(Azure MFA, FIDO2 등) 상향 적용
- 익명 IP 또는 비정상 위치에서의 인증 시도 즉시 차단 룰 설정
단, 위 항목은 일반적인 보안 모범사례로서 본 사건의 직접적인 차단 효과는 추가 검증이 필요한 영역입니다.
Cloud-native anomaly detection 및 SIEM 연계 인증 로그 모니터링
Microsoft Defender for Cloud와 Sentinel 같은 SIEM(보안 정보 및 이벤트 관리) 솔루션을 활용해 다음과 같은 로그 항목을 집중 모니터링하는 것이 권장됩니다.
- 동일 사용자 또는 동일 IP 대역에서의 짧은 시간 다수 인증 실패 이벤트
- 비정상 User-Agent 또는 GeoIP(지리 기반 IP) 분포에서의 토큰 발급
- CLI 기반 토큰 요청 패턴의 급격한 증가 징후
CLI 사용 시 토큰 TTL 단축과 비공개 인증 체계 전환
Azure CLI 사용 환경에서는 토큰 유효 기간(TTL)을 가능한 짧게 조정하고, 장기 자격 증명 대신 Managed Identity(관리 ID) 또는 Workload Identity(워크로드 ID) Federation 기반의 비공개 인증 체계를 검토할 필요가 있습니다. CI/CD(지속적 통합/배포) 파이프라인의 경우 GitHub OIDC(OpenID Connect) Federation을 통한 토큰 발급 방식으로 전환하면 클라이언트 시크릿 노출 자체를 제거할 수 있습니다. 이는 일반적인 보안 권고로서 본 사건과의 직접 연관성은 추후 검증이 필요합니다.
추가 점검 권장 항목
- 전사 Azure 구독의 서비스 주체 비밀값 회전 주기 단축 및 Key Vault 연계
- 비활성 사용자 계정 정리 및 권한 재평가 작업 분기 단위 수행
- 계약 기반 협력사 SaaS 계정에 대한 별도 보안 정책 및 접근 통제 적용
핵심 포인트 정리
- 이번 공격은 Azure CLI 인증 경로를 직접 노린 IPv6 기반 분산형 패스워드 스프레이로 8100만 회 시도, 78개 계정 침해를 달성함
- 장기 발급 토큰과 OAuth 인증 특성상 단일 인증 성공이 광범위한 권한 남용으로 이어질 수 있어 인증 시점 통제가 핵심임
- Entra ID 조건부 액세스, MFA 강화, 토큰 TTL 단축, Managed Identity 전환 등 클라우드 네이티브 통제의 종합 적용이 권장됨
- 한국 클라우드 도입 기업의 증가 추이를 고려할 때 공급망과 SaaS 연계 계정에 대한 연쇄 침해 시나리오 점검도 병행해야 함