ConsentFix로 본 Microsoft 365 토큰 탈취: 3초 만에 계정이 장악되는 구조

2026년 7월 Bleeping Computer에 게재된 기사에 따르면, 공격자는 사용자가 브라우저 주소창으로 링크를 드래그하는 사소한 행동만 유도해 약 3초 내에 Microsoft 365 계정 접근용 토큰을 탈취할 수 있다. ConsentFix는 기존 ClickFix의 클립보드 기반 사회공학에 OAuth 동의(Consent) 피싱을 결합한 신규 변종으로, 자격증명 입력이나 다단계 인증(MFA) 승인 없이도 세션이 통째로 넘어간다. 본문에서는 이 공격이 어떤 단계로 흘러가는지, 그리고 왜 기존 보안 통제가 무력화되는지를 시나리오 기반으로 분해한다.

  • 공격자는 링크 드래그·붙여넣기 같은 미세한 사용자 행동을 유도해 약 3초 만에 Microsoft 365 세션 토큰을 탈취한다.
  • ConsentFix는 ClickFix의 클립보드 사회공학에 OAuth 동의 피싱을 결합한 진화형 변종으로 분류된다.
  • 자격증명 입력이나 MFA 승인 없이 토큰이 유출되어 다단계 인증이 적용된 계정도 완전히 장악될 위험이 존재한다.

3초 윈도우 안에서 일어나는 일은 사실상 토큰 기반 신뢰 체계의 약점을 그대로 드러내는 사례이며, 기술 통제와 사용자 인식의 동시 강화가 필수로 판단된다.

들어가며: 3초 만에 끝나는 Microsoft 365 계정 탈취

전통적인 피싱은 가짜 로그인 페이지에서 아이디와 비밀번호를 직접 입력받아야 성립했다. 그러나 OAuth와 같은 최신 인증 구조에서는 권한 동의(Consent) 화면 한 번에 사용자 몰래 동일하거나 더 큰 권한이 넘어갈 수 있다. Bleeping Computer 기사는 이 지점이 3초라는 매우 짧은 시간 안에 실행된다는 점에서 기존 위협과 질적으로 다른 위험으로 평가한다.

ConsentFix와 ClickFix의 기본 개념

ClickFix에서 ConsentFix로 진화한 배경

ClickFix는 사용자의 클립보드에 악성 명령을 자동으로 복사해놓고, “이 코드를 붙여넣어 문제를 해결하라”는 메시지로 실행을 유도하는 사회공학 기법이다. ConsentFix는 여기에 OAuth 동의 피싱을 결합해 단순한 명령 실행이 아닌 클라우드 계정 권한 자체를 탈취하는 방향으로 진화한 것으로 분석된다.

  • ClickFix: 클립보드 악용 + 사용자 직접 실행 유도
  • ConsentFix: ClickFix 흐름 + OAuth 권한 동의(Consent) 화면 악용
  • 공통점: 사용자가 체감하기 어려운 짧은 시간 안에 1차 침투가 완료됨

공격 시나리오 단계별 분석: 링크 드래그에서 토큰 유출까지

3초 윈도우 안에서 일어나는 일

Bleeping Computer 기사와 후원을 밝힌 Huntress Labs의 분석을 종합하면, ConsentFix 기반 공격은 다음 표와 같은 단계로 진행되는 것으로 보인다.

단계 사용자가 인지하는 행동 실제 백그라운드 동작
1단계 유도 이메일·메신저에 수신된 링크를 브라우저 주소창으로 드래그 악성 OAuth 요청 URL이 브라우저에서 로드됨
2단계 권한 동의 “이 앱이 귀하의 계정에 접근하도록 허용하시겠습니까?” 같은 일반적 안내 문구 표시 광범위한 읽기·메일 발송 권한이 함께 요청됨
3단계 토큰 발급 사용자가 동의 버튼을 1회 클릭 브라우저에 권한 범위(Scope)가 포함된 액세스 토큰(Access Token)이 저장됨
4단계 토큰 탈취 정상 페이지로 리다이렉트되며 끝난 것으로 인식 이후 백엔드에서 토큰이 공격자 인프라로 유출되거나, 후속 페이로드로 추가 유출

전체 과정은 사실상 3초 이내에 완료되며, 사용자는 “그냥 링크를 열어본 것”으로 인식할 가능성이 크다.

OAuth 동의 피싱이 기존 자격증명 피싱과 다른 이유

OAuth 권한 동의 화면을 악용하는 방식

일반 피싱은 사용자가 입력한 아이디·비밀번호를 가로채는 데 반해, OAuth 동의 피싱은 정상 Microsoft 로그인 이후에 표시되는 권한 동의 화면을 악용한다. 이 화면은 Microsoft의 공식 도메인에서 제공되기 때문에 URL만으로는 위변조 여부를 판단하기 어렵다. 또한 사용자는 비밀번호를 직접 입력한 적이 없고 MFA를 통과한 정당한 세션으로 인식하기 때문에, 합법적인 동의로 오인하는 경향이 강하다.

MFA를 우회하는 토큰 탈취의 위험성

세션 토큰 유출이 MFA를 무력화하는 구조

다단계 인증은 로그인 시점의 자격증명 도용을 막는 데 매우 효과적이지만, 이미 발급된 세션 토큰(Access Token·Refresh Token)을 통째로 빼앗기는 상황에서는 무력화된다. 토큰 자체가 일종의 “디지털 여권” 역할을 하기 때문에, 공격자는 토큰을 자신의 환경에 주입하는 것만으로 정상 사용자로 가장해 메일함·문서·Teams 메시지 등에 접근할 수 있다.

관리자 권한이 있는 계정의 추가 리스크

Microsoft 365에서 글로벌 관리자(Global Administrator)·Exchange 관리자 권한이 있는 계정의 토큰이 탈취되면서함 규칙 변경, 외부 메일 자동 전달, 신규 관리자 계정 생성까지 가능한 것으로 분석된다. 이는 단일 사용자 침해를 조직 전체 침해로 확장시키는 사다리 공격(Lateral Movement)의 시발점이 된다.

기업과 사용자가 취해야 할 즉시 대응 방안

조직 단위에서 필요한 정책과 모니터링

  • OAuth 앱 승인 정책 강화: 광범위 권한(예: Mail.ReadWrite, Mail.Send 등)을 요청하는 서드파티 앱은 관리자 승인제로 전환
  • 엔터프라이즈 애플리케이션 모니터링: Microsoft Entra ID(구 Azure AD) 로그인 및 감사 로그에서 비정상 토큰 발급 알림 설정
  • 조건부 액세스 정책: 디바이스 준수, 위치, 위험 신호 기반의 세션 제어 적용
  • 토큰 수명 단축 및 재인증: 중요 권한에 대해 짧은 토큰 수명과 강제 재로그인 정책 도입

사용자 교육 시 핵심 메시지 설계

단순히 “링크를 누르지 마라”는 식의 경고는 효과가 낮다. 3초 안에 끝나는 공격에서는 인지 자체가 어렵기 때문이다. 교육 메시지는 “권한 동의 화면에서 앱 이름·요청 권한 범위·회사명을 반드시 확인하라”는 구체적 행동 지침 중심으로 설계할 필요가 있다. 또한 “정상적인 Microsoft 도메인에서 보이는 동의 화면이라서 더 위험하다”는 점을 반복 강조해야 사용자의 직관과 다른 위협을 인식시킬 수 있다.

결론: 보안 인식 훈련과 기술적 통제의 병행 필요성

ConsentFix와 ClickFix는 사회공학과 OAuth 토큰 탈취가 결합된 대표적 사례로, 사용자 한 사람의 미세한 실수가 곧 조직 전체의 침해로 이어질 수 있는 구조를 만든다. 기사에서 강조한 3초라는 시간은 수사적 표현이 아니라, 사용자가 인지하기도 전에 토큰이 빠져나갈 수 있다는 사실을 강조한 것으로 해석된다. 따라서 다단계 인증을 “만능”으로 여기는 시각에서 벗어나, 토큰 수명 관리·OAuth 승인 정책·조건부 액세스 같은 기술적 통제와, 동의 화면을 반드시 읽도록 유도하는 인식 훈련을 동시에 강화해야 한다.

핵심 정리

  • ConsentFix는 ClickFix의 클립보드 사회공학 + OAuth 동의 피싱을 결합한 변종 공격이다.
  • 전체 과정이 약 3초 이내에 완료되어 사용자 인지 기반 보안만으로는 차단이 어렵다.
  • 세션 토큰을 통째로 탈취하기 때문에 다단계 인증이 적용된 계정도 무력화될 수 있다.
  • 관리자 계정 토큰이 탈취되면 사다리 공격을 통해 조직 전체 침해로 확장될 위험이 있다.
  • 엔터프라이즈 애플리케이션 승인 정책·조건부 액세스·토큰 수명 관리가 기술적 통제의 핵심이다.
  • 사용자 교육은 “권한 동의 화면의 요청 범위를 반드시 확인하라”는 구체적 행동 중심으로 설계해야 효과적이다.

ConsentFix | ClickFix | Microsoft365 계정 탈취 | OAuth 피싱 | 세션 토큰 탈취 | 다단계 인증 우회 | 사회공학 공격 | 클립보드 악용 | 엔터프라이즈 애플리케이션 | 조건부 액세스 | 보안 인식 훈련 | Bleeping Computer | Huntress Labs

참고 자료: Bleeping Computer – ConsentFix and ClickFix, The Hacker News – ToddyCat-Linked Umbrij Malware Abuses OAuth

댓글 남기기