Contents
see List이번 영상은 Microsoft Phone Link 기능을 악용해 SMS와 OTP 인증번호를 훔칠 수 있는 CloudZ RAT의 Pheno 플러그인 이슈를 짧게 정리한 보안 뉴스입니다. Phone Link는 Windows 10과 Windows 11에서 휴대폰 문자, 통화, 알림을 PC에서 확인하게 해주는 편리한 기능이지만, PC가 감염되면 이 편의 기능이 인증번호 탈취 경로가 될 수 있습니다.
BleepingComputer와 Cisco Talos 분석에 따르면 Pheno는 활성 Phone Link 세션을 확인하고, PC 안에 있는 로컬 SQLite 데이터베이스에 접근해 SMS와 일회용 인증번호, 인증 앱 알림 정보를 노립니다. 중요한 점은 공격자가 휴대폰 자체를 직접 해킹하지 않아도 된다는 것입니다. 사용자가 연결해 둔 PC만 장악하면 휴대폰으로 온 민감한 메시지를 우회적으로 볼 수 있는 구조입니다.
CloudZ RAT는 단순 정보탈취 도구가 아니라 원격 제어 기능을 갖춘 악성코드입니다. 화면 녹화, 파일 조작, 명령 실행, 브라우저 데이터 수집, 플러그인 로딩 같은 기능을 수행할 수 있고, 이번 사례에서는 가짜 ScreenConnect 업데이트 실행 뒤 Rust 기반 로더와 .NET 로더를 거쳐 설치된 것으로 분석됐습니다. 이후 예약 작업을 이용해 지속성을 확보하는 흐름도 확인됐습니다.
실무자와 일반 사용자 모두에게 주는 메시지는 명확합니다. SMS 기반 OTP는 편하지만, PC 연동 기능과 악성코드가 결합되면 더 이상 안전한 2차 인증으로 보기 어렵습니다. 금융, 관리자 계정, 업무용 클라우드처럼 중요한 계정은 가능하면 SMS 인증보다 인증 앱, 패스키, 하드웨어 보안키 같은 피싱 저항성이 높은 방식으로 옮기는 것이 좋습니다.
기업 환경에서는 Phone Link 사용 정책, 원격지원 도구 업데이트 출처, 예약 작업과 시작 프로그램 점검, EDR 탐지 로그 확인이 함께 필요합니다. 특히 ScreenConnect처럼 업무에서 실제로 쓰는 도구를 가장한 업데이트 파일은 사용자가 의심하기 어렵기 때문에, 배포 경로와 서명 검증, 관리자 권한 실행 통제가 중요합니다.
소프트모아는 웹사이트와 업무 시스템을 구축할 때 로그인 보안, 관리자 권한, 2차 인증 방식까지 함께 점검해야 한다고 봅니다. 기능은 편할수록 공격자도 같은 편의성을 노립니다. 이번 영상으로 핵심 위험을 먼저 확인하고, 회사와 개인 계정의 인증 방식을 한 번 점검해 보시기 바랍니다.