ARToken 피싱 키트와 EvilTokens 제휴 구조로 드러난 Microsoft 365 계정 탈취 위협 심층 분석

핵심 요약

  • ARToken은 EvilTokens 제휴 프로그램의 일부로 운영되는 신규 피싱 as a 서비스(PhaaS) 플랫폼으로 확인됨
  • 주요 표적은 Microsoft 365이며 기업 클라우드 계정 대량 탈취 위협이 현실화됨
  • Cisco Talos가 툴킷의 내부 구조를 공개적으로 분석해 업계 전반의 대응 역량 강화 기회를 제공하는 것으로 분석됨

제휴형 PhaaS 확산은 단일 조직이 아닌 공급망 단위의 클라우드 자격 증명 위협으로 확장되고 있다.

2026년 7월 3일 Bleeping Computer는 ARToken이라는 신규 PhaaS가 EvilTokens 제휴 프로그램의 일부로 운영되고 있다는 분석 보도를 게시했으며, 이는 Bleeping Computer의 작성자 Lawrence Abrams가 Cisco Talos의 기술 분석을 근거로 삼아 Microsoft 365 자격 증명을 둘러싼 위협의 현재 좌표를 제시했다는 점에서 의미가 크다. 본 리포트는 ARToken과 EvilTokens의 제휴 구조, 툴킷의 핵심 기능, 그리고 기업 및 조직이 즉시 도입해야 할 대응 방안까지 한 번에 정리한다.

1. 피싱 as a 서비스 시장 동향과 이슈 개요

1.1 PhaaS 모델의 확산과 위협 현황

PhaaS는 랜섬웨어 as a 서비스(RaaS)에서 파생된 사업 모델로, 공격자가 직접 키트를 개발하지 않더라도 정액제 또는 수익 분배 구조로 피싱 페이지를 운영할 수 있게 만든다. 이 모델은 기술적 진입 장벽을 낮추고 비숙련 위협 행위자도 대량 피싱 캠페인을 수행할 수 있도록 만드는 것으로 분석된다. EvilTokens처럼 이미 브랜드화된 상위 플랫폼이 하위 제휴 프로그램을 흡수하는 구조는 범죄 서비스의 수직 계열화를 의미하며, 공급망의 한 노드가 차단되더라도 다른 노드로 즉시 전환될 가능성이 있는 것으로 분석된다.

1.2 Microsoft 365를 표적으로 삼는 이유

Microsoft 365는 전 세계 기업의 업무 메일, 문서, 협업 도구를 통합한 클라우드 플랫폼으로, 단일 계정 침해가 메일함 및 내부 문서 유출의 단초가 될 수 있다. 비즈니스 이메일 침해(BEC) 사기의 출발점이기도 하며, 한 번 탈취한 세션은 사내 시스템 침투의 발판이 된다. 이러한 자산 가치 때문에 ARToken과 같은 PhaaS는 Microsoft 365를 1순위 표적으로 설정하는 것으로 분석된다.

2. ARToken과 EvilTokens 플랫폼 구조 분석

2.1 ARToken 플랫폼 식별 경위와 공개적 노출

Cisco Talos는 피싱 인프라와 코드 흔적을 추적하던 중 ARToken이라는 신규 PhaaS를 식별한 것으로 보고되며, EvilTokens의 제휴 프로그램 형태로 운영된다는 사실을 확인했다. 공격자가 PhaaS를 완전히 폐쇄적으로 운용하지 않고 외부 제휴자에게까지 키트를 임대하는 구조는, 유출 위험이 그만큼 커진다는 의미이기도 하다. 실제 분석 사례처럼 운영자 또는 제휴자의 부주의로 내부 정보가 노출되는 사례가 늘어나고 있다.

2.2 EvilTokens 제휴 프로그램 운영 방식의 특징

EvilTokens는 다단계 피싱 템플릿과 관리 패널을 상위 플랫폼으로 제공하고, ARToken 같은 하위 제휴자는 자체 브랜딩과 도메인, 트래픽 유입 채널을 담당하는 것으로 보인다. 이러한 분업 구조는 역할 분담을 통해 탐지를 어렵게 만들고, 수익 분배 체계는 제휴자에게 안정적인 동기 부여를 제공한다. 즉, 공격의 기획과 실행이 분리되면서 한쪽이 차단되어도 다른 한쪽이 생존하는 회복 탄력성을 갖게 된다.

2.3 Cisco Talos의 기술 분석 요약

Talos는 공개 자료에서 툴킷의 인증 흐름과 데이터 유출 경로, 관리자 패널 구조를 상세히 기술한 것으로 알려진다. 다만 원문에 공개되지 않은 구체 모듈 명이나 정확한 통신 프로토콜은 추측 단계에 그치며, 본 리포트에서는 단정적인 표현을 피한다. 공개된 분석은 위협 인지를 위한 출발점이며, 각 기업은 자체 환경에 맞춰 후속 검증이 필요하다.

3. 피싱 툴킷의 핵심 기능과 공격 흐름

3.1 계정 탈취 및 자격 증명 수집 메커니즘

ARToken 계열 툴킷이 Microsoft 365 로그인 페이지를 모방한 피싱 페이지를 제공하는 것으로 보고된다. 사용자가 입력한 아이디와 비밀번호는 즉시 공격자 서버로 전송되며, 수집된 자격 증명은 관리 패널에 자동으로 적재된다. 이 과정에서 정상 도메인을 사칭한 피싱 URL이 단기 인증서와 결합되어 사용자에게 정품 페이지로 오인되도록 유도한다.

3.2 다단계 인증 우회 가능성과 세션 탈취 기능

일부 PhaaS 툴킷은 다단계 인증(MFA) 사용자에게도 정당한 로그인 흐름을 안내한 뒤 세션 쿠키를 가로채는 애들온(Adversary-in-the-Middle, AitM) 방식을 채택하는 것으로 보고된다. 공개된 Cisco Talos 분석에서도 이러한 가능성을 언급한 것으로 보이며, MFA 자체만으로는 완전한 차단이 어려울 수 있다는 점이 강조된다. 세션 토큰 탈취는 비밀번호 변경과 MFA 재등록 같은 후속 대응이 늦어질수록 피해가 확대되는 특징을 갖는다.

4. 기업 및 조직의 대응 방안

4.1 탐지 규칙 및 로그 모니터링 포인트

기업 보안팀은 Microsoft 365 감사 로그, Entra ID(구 Azure AD) 로그인 로그, 메일 게이트웨이 로그를 교차 분석해야 한다. 비정상 국가 또는 IP에서의 로그인, 짧은 시간 내 다수 계정 동시 인증 시도, 알려지지 않은 도메인에서의 OAuth 동의 요청은 핵심 탐지 시그널이다. 아래 표는 모니터링 시 우선 점검할 항목을 정리한 것이다.

구분 주요 시그널 우선 점검 항목
인증 로그 비정상 지역 로그인, 동시 다발 인증 Entra ID Sign-in Logs
메일 외부 도메인 사칭, URL 재작성 우회 Defender for Office 365 정책
애플리케이션 의심 OAuth 동의, 비인가 앱 등록 Entra ID 앱 권한 감사

4.2 사용자 인식 교육과 인증 정책 개선

기술적 통제만큼이나 사용자 인식이 중요하다. 피싱 시뮬레이션 훈련을 분기 1회 이상 실시하고, URL 사전 확인, 메일 발신자 주소 재확인, MFA 알림 즉시 검증 절차를 일상화해야 한다. 동시에 피싱 resistant MFA(FIDO2, Windows Hello 등)로의 전환을 검토하고, 레거시 인증 차단을 Entra ID 조건부 액세스 정책에 명시하는 것이 권장된다.

4.3 장기적 보안 아키텍처 고도화 전략

단기 점검을 넘어, 제휴형 PhaaS의 회복 탄력성에 맞서기 위해서는 아키텍처 차원의 고도화가 필요하다. 제로 트러스트 원칙을 도입해 최소 권한 접근과 지속적 검증을 적용하고, 자격 증명 노출 시 자동 세션 무효화 절차를 마련해야 한다. 또한 위협 인텔리전스 피드를 SIEM과 연동해 알려진 PhaaS 인프라를 선제적으로 차단하는 체계를 구축하는 것이 현실적 대응 전략으로 분석된다.

핵심 정리

  • ARToken은 EvilTokens 제휴 구조 안에서 Microsoft 365를 표적으로 하는 PhaaS로 확인되었다.
  • 공개된 Cisco Talos 분석은 업계 대응의 출발점이며, 각 기업은 자체 환경에서 후속 검증이 필요하다.
  • 세션 탈취 가능성이 존재하므로 MFA만 의존하지 말고 피싱 resistant 인증과 모니터링을 병행해야 한다.
  • 제로 트러스트 기반의 인증, 탐지, 자동화 대응 체계를 단계적으로 고도화하는 것이 권장된다.
관련 키워드: ARToken, EvilTokens, 피싱asAService, PhaaS, Microsoft365, CiscoTalos, 계정탈취, 자격증명탈취, 피싱툴킷, 기업보안, BleepingComputer, 다단계인증우회, 악성제휴프로그램, 클라우드보안

댓글 남기기