- 340개 이상 Microsoft 365 조직이 최신 디바이스 코드 기반 피싱 공격의 표적이 됨
- 공격자는 OAuth 인증 흐름을 악용해 탐지 우회 및 대규모 내부 접근 권한 탈취
- 전통적 보안 체계를 우회하는 신종 위협에 따라, MFA와 권한 관리 등 조직적 대응이 필수
클라우드 시대, 피싱 공격도 진화한다—OAuth 남용이 새로운 위협 트렌드가 됐습니다.
사건 개요 — 공격 탐지와 주요 피해 국가
보안 기업 Huntress가 2026년 2월 19일, 미국, 캐나다, 호주, 뉴질랜드, 독일 등 5개국 340개 이상의 Microsoft 365 조직을 겨냥한 대규모 피싱 캠페인을 최초로 탐지했습니다. 이 공격은 기존에 알려지지 않은 방식으로, Microsoft 365의 OAuth 인증 중 하나인 ‘디바이스 코드 인증’ 절차를 악용한 것이 특징입니다.
공격자는 정상 사용자가 인지하지 못하는 가운데, 합법적인 앱 연결 시나리오를 위장하여 사용자에게 인증 코드 입력을 유도한 것으로 분석됩니다. Huntress는 이를 공식 블로그를 통해 신속히 알리고, Microsoft Security Response Center(MSRC)와 협력 하에 조사를 진행 중입니다.
공격 방식 분석 — OAuth 디바이스 코드 인증 악용
공격의 핵심은 Microsoft 365의 OAuth 2.0 디바이스 코드 인증 흐름 악용입니다. 디바이스 코드 인증은 주로 TV나 IoT 기기 등 입력이 제한된 장치에서 Microsoft 365에 로그인할 때 사용하는 합법적 인증 절차입니다.
공격자는 이 절차를 악용하여, 피싱 페이지에서 사용자가 디바이스 코드를 입력하도록 유도합니다. 피해자가 자신의 자격 증명과 함께 해당 코드를 입력하면, 공격자는 정식 OAuth 토큰을 확보해 피해자의 Microsoft 365 계정에 광범위한 접근 권한을 얻게 됩니다.
전문가들은 “기존 피싱 탐지 솔루션은 합법적인 Microsoft 도메인을 이용한 인증 흐름을 잘 차단하지 못한다”고 경고했습니다. 실제로 이메일/웹 필터만으로는 식별이 쉽지 않다는 점이 이번 공격의 복잡성을 높였습니다.
피해 범위 및 수치 — 글로벌 조직 집중 타격
현재까지 340개 이상의 Microsoft 365 조직이 피해를 본 것으로 확인되었습니다. 주로 미국, 캐나다, 호주, 뉴질랜드, 독일 등 Microsoft 365 도입률이 높은 국가에서 집중적으로 발생했습니다.
공개된 수치는 Huntress의 공식 블로그와 Major 보안 미디어(예: The Hacker News, Bleeping Computer)에서도 동일하게 보도되었으며, Huntress와 Microsoft는 실제 피해 범위가 더 클 가능성을 경고하고 있습니다. 유사 공격이 다른 국가로 확산될 소지도 있습니다.
보안적 시사점 — 탐지 우회와 내부 권한 탈취의 심각성
이번 공격의 가장 위험한 점은 탐지 우회 능력에 있습니다. 공격자는 합법적인 Microsoft 인증 인프라를 이용하기 때문에 기존 피싱 방어 체계로는 정상 트래픽으로 처리될 가능성이 큽니다.
한 번 피싱에 성공하면 공격자는 조직 내 문서, 이메일, SharePoint, Teams와 같은 내부 시스템에 손쉽게 접근할 수 있습니다. 정보 유출은 물론, 추가로 랜섬웨어 유포나 내부 네트워크 침투 등 2차 피해로 이어질 위험이 높습니다.
특히 클라우드 기반 환경에서는 크리덴셜 침해로 인한 권한 확산 속도가 온프레미스 환경보다 훨씬 빠르기 때문에, 조직의 신속한 대응이 필수적입니다.
대응 방안 — MFA·권한 관리·실시간 모니터링 강화
보안 전문가들은 다음과 같은 대응 방안을 권고합니다.
- 다중인증(MFA) 전면 적용: 모든 사용자를 대상으로 MFA를 강제하고, 관리자 등 위험도가 높은 계정은 하드웨어 토큰 등 추가 보안을 적용해야 합니다.
- OAuth 권한 관리 강화: 조직 내 앱 등록과 OAuth 권한 승인 절차를 엄격히 관리하고, 불필요한 권한은 즉시 취소해야 합니다.
- 비정상 승인 흐름 상시 모니터링: 의심스러운 디바이스 코드 인증 시도나 새로운 앱 연결에 대한 알림 정책을 수립해 실시간 대응해야 합니다.
- 임직원 보안 인식 교육: 디바이스 코드 인증을 빙자한 피싱이나 불분명한 권한 요청에 각별히 주의할 수 있도록 교육해야 합니다.
- Conditional Access 적극 활용: Microsoft Entra ID의 조건부 접근 정책으로 위험 로그인 시도 자동차단과 모니터링을 강화해야 합니다.
전문가 전망 및 마무리
이번 캠페인은 OAuth 기반 인증 체계를 겨냥한 피싱 공격이 한층 정교해졌음을 보여줍니다. Huntress 연구진도 “클라우드 중심 환경에서 기존 보안 패러다임을 재정비하고, OAuth 인증 흐름에 대한 근본적 이해와 모니터링이 필수”라고 강조하고 있습니다.
Microsoft 역시 추가 보안 권고와 함께 Authenticator 등 기본 제공 도구를 활용한 보호 조치를 권장하고 있습니다. 향후 이러한 공격이 더욱 빈번해질 것으로 전망되는 만큼, 기업들은 CSPM(Cloud Security Posture Management)와 Zero Trust 구조 도입 등 근본적 보안 체계 강화가 필요합니다.
- OAuth 인증 절차 내 허점 악용이 늘고 있음
- 기존 보안 탐지 시스템만으로는 식별 한계
- 클라우드 보안 체계·정책 전반 점검 필요성 대두