[분석] Microsoft Azure Monitor 경고를 악용한 콜백 피싱 공격…기업용 클라우드 보안의 새로운 위협

사건 개요: Microsoft Azure Monitor 경고의 피싱 악용

최근 Microsoft Azure Monitor의 경고(Alerts) 시스템이 피싱 공격에 활용되는 사례가 보고되어 기업 보안업계에 경고음이 커지고 있습니다. 공격자들은 Microsoft 보안팀을 사칭해 Azure 클라우드 사용자의 계정에서 승인되지 않은 요금이 청구됐다는 내용의 경고 이메일을 무작위로 발송하고 있습니다. 이번 피싱은 기존의 링크 클릭 유도형이 아닌, ‘콜백(Callback)’ 방식이어서 탐지 회피 가능성이 높아 더욱 우려가 커지고 있습니다.

콜백 피싱의 공격 방식과 특징

콜백 피싱은 수신자가 이메일에 포함된 전화번호로 직접 연락하도록 유도하는 비교적 새로운 형태의 피싱 기법입니다. 공격자는 사용자의 경계심을 낮추기 위해 기업 공식 알림에서 자주 보이는 긴급한 어투와 전문 용어를 사용합니다. Azure Monitor 경고의 실제 알림 포맷과 스타일을 그대로 모방하여, 수신자가 Microsoft 공식 시스템에서 온 알림임을 의심하지 않게 만든 것이 특징입니다.

핵심은 링크 클릭이 아니라 전화번호를 통해 직접 공격자와 통화하게 만드는 점입니다. 전화를 받은 공격자는 Microsoft 지원 직원을 사칭해 추가적인 개인 정보, 계정 정보, 결제 정보 등을 요구합니다. 이와 같은 방식은 이메일 탐지 시스템을 효과적으로 우회해 전통적인 방어 체계의 한계를 드러내고 있습니다.

실제 공격 사례 분석 및 피해 시나리오

보안 연구에 따르면, 해당 피싱 이메일에는 “Azure 계정에서 비정상적인 활동이 감지되어 확인이 필요하며, 조치가 없을 시 서비스가 중단될 수 있다”라는 식의 긴박한 메시지가 포함되어 있습니다. 이메일 하단에는 “문의 사항이 있으면 Microsoft 보안팀으로 콜백하세요”라는 문구와 함께 특정 전화번호가 기재되어 있습니다.

수신자가 이 번호로 전화를 할 경우, 공격자는 자동응답이나 상담원을 통해 “계정 확인”을 명분으로 Azure 사용자 이름과 비밀번호, 다단계 인증(MFA) 코드, 결제 정보 및 신용카드 번호, 조직 내 다른 사용자 정보까지 요청합니다. 이 정보가 유출되면 즉각적으로 계정 탈취, 결제 사기 등 2차 피해로 이어질 수 있습니다.

기존 피싱과의 차이점 – 콜백 방식의 위험성

기존 피싱 공격은 주로 악성 링크가 포함된 이메일을 통해 가짜 웹사이트로 유도하거나 악성코드를 다운로드시키는 방식입니다. 하지만 콜백 피싱은 다른 점이 있습니다.

• 첫째, 탐지 회피율이 높다. 이메일 본문에 악성 링크가 없거나 잘 숨겨진 콘텐츠를 사용해 기존 이메일 보안 시스템을 쉽게 우회할 수 있습니다.
• 둘째, 심리적 압박이 강하다. 전화 통화를 통한 직접 대화는 이메일보다 훨씬 더 높은 긴박함과 신뢰감을 전달하므로 수신자의 경계심을 무너뜨리기 쉽습니다.
• 셋째, 실시간 소셜 엔지니어링 효과가 크다. 실제 대화 상황에서 사용자는 공격자의 설득에 쉽게 당할 수 있습니다.

보안 전문가 및 Microsoft의 대응

Microsoft와 전 세계 보안 전문가들은 현재 이 사안에 대해 적극적으로 모니터링과 대응을 강화하고 있습니다. Microsoft는 공식 보안 권고를 통해 사용자가 Azure Monitor 경고의 진위를 확인하는 방법을 안내하고, 의심스러운 이메일의 전화번호로 직접 연락하지 말고 반드시 공식 Microsoft 계정 포털이나 지원 채널을 활용할 것을 강조했습니다.

보안 전문기업 분석에 따르면 콜백 피싱은 최근 1년 새 급격히 늘었고, 특히 클라우드 서비스 이용자가 주된 타깃입니다. 기업의 원격근무 확산과 클라우드 의존도 증가가 공격 범위를 넓히고 있습니다.

기관 및 사용자 대상 예방 수칙

기업과 사용자들이 반드시 따라야 할 예방 수칙은 다음과 같습니다. 첫째, Azure 포털이나 공식 앱을 통해 계정 상태를 직접 확인하고, 이메일의 링크나 전화번호는 믿지 않아야 합니다. 둘째, 긴박함을 강조하는 계정 알림에 즉시 반응하지 말고, 공식 경로로 사실 여부부터 확인하는 습관을 가져야 합니다. 셋째, 모든 Azure 계정에 다단계 인증(MFA)을 반드시 적용하고, 비정상적 로그인 시도 알림도 활성화해야 합니다. 넷째, 보안 인식 교육을 정기적으로 실시하여 콜백 피싱의 위협을 잘 인지하도록 해야 합니다.

클라우드 시대, 새로운 보안 과제와 시사점

이번 Azure Monitor 경고 악용 사례는 클라우드 서비스 환경에서의 보안이 단순한 기술적 취약점 방어를 넘어, 신뢰할 수 있는 서비스 자체가 악용될 수 있음을 보여줍니다. 공격자는 이미 사용자가 신뢰하는 공식 알림 시스템을 정교하게 복제하여 공격에 활용하고 있습니다.

이제 기업은 기존의 피싱 방어 솔루션만이 아니라, 사용자 교육 및 다단계 인증, 이상행동 탐지 등 다층적인 보안 체계 도입이 필수입니다. 더불어, 클라우드 서비스 제공사와 긴밀히 협업하고 위협 정보를 신속히 공유해 새로운 공격에 대응할 수 있는 환경을 갖추어야 할 것입니다.