러시아 해커, 라우터 취약점 악용해 Microsoft Office 인증토큰 대량 탈취: 공급망 보안 위협 확산

2. 사건 개요 — 해킹의 기술적·전략적 특징

보안 커뮤니티 KrebsOnSecurity와 미국 CISA의 최근 보고서에 따르면, 러시아 군 정보기관과 연계된 해커 그룹이 전 세계적으로 대규모 사이버 공격을 수행하고 있음이 드러났다. 이 공격의 핵심은 노후된 라우터의 취약점을 이용해 Microsoft Office 사용자의 인증 토큰을 대량 탈취했다는 점이다. 2025년 5월부터 약 18,000개 이상의 네트워크에서 침해 사례가 보고되어, 특히 기업과 공공기관뿐 아니라 공급망 전체에 심각한 보안 위협을 끼치고 있다.

3. 공격 세부 방법론 — 라우터 취약점, DNS 하이재킹, 무악성 행위

이번 공격의 가장 큰 특징은 악성코드 유포나 코드 실행 없이 인증 토큰을 탈취할 수 있다는 점이다. 해커들은 MikroTik과 TP-Link 등 널리 활용되는 중소규모 기업용 라우터의 오래된 펌웨어 취약점을 노려 DNS 설정을 변경했다. 그 결과, 사용자는 Microsoft Office 인증 페이지에 접속 시 조작된 DNS로 인해 정상처럼 보이는 위조 사이트로 유도된다. 사용자가 자신의 계정 정보를 입력하면, 실제 인증은 이루어지지만 동시에 인증 토큰이 화면 밖에서 조용히 수집된다.

4. 피해 규모와 영향 — 공급망·재택·공공 부문 파장

Mandiant의 조사에 따르면, 이번 공격은 특정 조직이 아닌 공급망 전체를 노린 대규모 캠페인이다. 특히 재택근무 환경에서 쓰이는 네트워크 장비가 주요 침투 경로로 활용되고 있다. 피해 범위에는 민간 기업뿐 아니라 정부 기관, 공공 인프라 네트워크까지 포함되어 있어 국가 안보 차원에서도 심각한 우려가 나오고 있다. 탈취된 인증 토큰은 실제 사용자 권한으로 시스템 접근이 가능해 추가 공격, 데이터 유출로 손쉽게 이어질 수 있다.

5. 기존 탐지 체계의 한계와 대응

보안 전문가들은 이번 공격이 기존의 방화벽, 엔드포인트 솔루션 탐지를 어렵게 만든다고 지적한다. 네트워크 인프라에서 공격이 벌어지기 때문에 대부분의 보안 솔루션이 감지하지 못할 수 있다. 이에 따라 조직은 네트워크 레벨에서 비인가 DNS 쿼리 감시, 라우터 펌웨어 정기 업데이트, 다단계 인증(MFA) 도입 등 다층적 방어 전략을 신속히 적용해야 한다. 특히 재택근무용 가정 라우터의 보안 강화와 펌웨어 최신화가 시급히 요구된다.

6. 전문가 의견 및 권고 사항

CISA와 다수 보안 전문가들은 즉각적인 대응으로 첫째, MikroTik, TP-Link 등 사용 중인 라우터 펌웨어를 최신 버전으로 바로 업데이트하고 제조사 보안패치를 적극 반영해야 한다고 강조한다. 둘째, 네트워크 트래픽 모니터링을 통해 이상 DNS 쿼리 및 미확인 도메인 리다이렉션 시도를 즉시 탐지할 수 있는 체계가 필수적이다. 셋째, Microsoft Office 및 주요 서비스에 다단계 인증을 반드시 적용해, 토큰 탈취 상황에서도 2차 인증 단계에서 공격을 막아야 한다. 넷째, 침해가 의심되는 조직이라면 인증 로그를 면밀히 분석하고 탈취된 토큰의 무효화 및 재발급을 검토해야 한다.

7. 최근 동향과 미래 전망

이번 사건은 네트워크 인프라 장비의 보안 관리가 사이버 방어의 시작점이자 최후의 보루라는 점을 다시 한번 상기시킨다. IoT 기기와 라우터 등 네트워크 장비는 보안 업데이트 주기가 길고 관리가 소홀하기 쉽기 때문에, 상시 관제와 주기적인 패치가 필요하다. 앞으로 유사한 공격이 다른 제조사의 장비나 프로토콜로 확대될 가능성도 배제할 수 없어, 조직은 인프라 보안 정책 강화와 임직원 보안 교육을 병행해 철저한 방어 체계를 갖춰야 한다.