Contents
see List이번 영상은 Microsoft Defender Research가 공개한 대규모 ‘code of conduct’ 피싱 캠페인을 바탕으로, 회사 메일처럼 보이는 안내가 어떻게 계정 탈취로 이어지는지 정리한 콘텐츠입니다. 공격자는 징계·규정 검토처럼 보이는 제목과 문구를 사용해 사용자가 내부 감사나 컴플라이언스 절차로 착각하게 만들었습니다.
Microsoft에 따르면 이 캠페인은 26개국, 13,000개 조직의 약 35,000명을 겨냥했습니다. 단순히 링크 하나를 보내는 방식이 아니라, 이메일 본문과 PDF 첨부파일, Cloudflare CAPTCHA, 중간 안내 페이지, 가짜 Microsoft 로그인 화면을 단계적으로 연결했습니다. 사용자는 보안 검사를 통과하고 문서를 확인하는 정상 절차처럼 느끼지만, 실제 목적은 인증 정보를 빼내는 것이었습니다.
핵심은 AiTM, 즉 adversary-in-the-middle 방식입니다. 공격자는 사용자와 정상 로그인 서비스 사이에 끼어들어 로그인 흐름을 중계하고, 이 과정에서 세션 쿠키나 인증 토큰을 탈취할 수 있습니다. 그래서 다중 인증(MFA)을 사용하더라도 토큰이 빼앗기면 공격자가 이미 인증된 세션처럼 접근할 가능성이 생깁니다.
이번 사례가 특히 위험한 이유는 “보안 장치처럼 보이는 요소”를 공격자가 오히려 신뢰 장치로 활용했다는 점입니다. CAPTCHA가 나오면 많은 사용자는 자동으로 더 안전한 사이트라고 느낍니다. PDF 첨부와 전자서명 화면도 실제 회사 업무에서 흔히 보는 흐름이라 의심을 낮춥니다. 공격자는 바로 이 익숙함을 이용해 의심보다 클릭을 먼저 만들었습니다.
또 하나 눈여겨볼 부분은 피싱이 점점 ‘한 번에 속이는’ 방식에서 ‘여러 단계를 통과시키며 신뢰를 쌓는’ 방식으로 바뀌고 있다는 점입니다. 메일, 첨부파일, 검증 페이지, 로그인 화면이 차례로 이어지면 사용자는 스스로 정상 절차를 밟고 있다고 믿기 쉽습니다. 보안 교육에서도 단순히 수상한 링크를 조심하라는 수준을 넘어, 업무 흐름 전체를 확인하는 습관이 필요합니다.
대응은 링크 클릭 전 발신자와 도메인을 확인하는 것에서 시작해야 합니다. 징계, 규정 위반, 서명 요청처럼 감정을 자극하는 메일일수록 메일 안의 버튼을 누르기보다 사내 포털을 직접 열어 확인하는 편이 안전합니다. 보안팀은 조건부 접근, 토큰 재사용 탐지, 의심 로그인 차단, 피싱 방지 MFA 같은 계정 보호 정책도 함께 점검해야 합니다.
짧은 영상에서는 이 공격 흐름을 실제 Microsoft 공개 자료 화면 중심으로 1분 안에 정리했습니다.