Contents
see ListMicrosoft Teams 화면공유를 악용한 자격증명 탈취 사례
이번 쇼츠에서는 Microsoft Teams 화면공유 기능을 악용해 자격증명과 MFA 인증 흐름까지 노린 MuddyWater 관련 공격 사례를 정리했습니다. 겉으로는 협업 도구를 쓰는 평범한 연락처럼 보이지만, 실제로는 사용자가 직접 화면을 공유하게 만든 뒤 로그인 정보와 인증 과정을 훔쳐보는 사회공학 공격에 가깝습니다.
핵심은 “첨부파일을 눌렀느냐”보다 “상대에게 화면을 보여줬느냐”입니다. 공격자는 신뢰할 만한 업무 대화처럼 접근하고, 원격 지원이나 문제 해결을 핑계로 Teams 화면공유를 유도합니다. 이후 피해자가 계정 로그인, MFA 승인, 보안 경고 화면을 처리하는 순간을 관찰하거나 추가 도구 설치로 이어가며 내부 접근 권한을 넓힐 수 있습니다.
보안 분석에서는 DWAgent, AnyDesk 같은 원격 접근 도구와 Game.exe로 위장한 실행 파일, Chaos ransomware 명칭을 활용한 혼선 유발 정황도 함께 언급됩니다. 그래서 이번 사례는 단순 랜섬웨어 뉴스라기보다, 협업 도구·원격 지원·MFA 피로감이 한꺼번에 엮인 공격 흐름으로 보는 편이 정확합니다.
이 방식이 위험한 이유는 사용자가 보안 절차를 우회한 것이 아니라, 정상 업무 도구 안에서 스스로 절차를 진행한다고 믿게 만들기 때문입니다. 메일 첨부파일 차단, 백신 경고, 다운로드 제한은 어느 정도 효과가 있지만, 화면공유로 MFA 코드나 승인 과정을 보여주는 순간에는 방어선이 사람의 판단에 크게 의존하게 됩니다. 특히 바쁜 업무 시간, 장애 대응 상황, 외부 협력사와의 미팅 중에는 이런 요구를 의심 없이 받아들이기 쉽습니다.
실무적으로는 외부인이 갑자기 Teams 통화나 화면공유를 요구할 때 반드시 별도 채널로 신원을 확인해야 합니다. 로그인 화면, 관리자 콘솔, MFA 승인 화면은 공유하지 않는 것이 원칙이며, 원격 지원 도구 설치 요청도 사내 승인 절차 없이 진행하면 안 됩니다. 관리자는 조건부 접근, 세션 모니터링, 비정상 원격 도구 실행 탐지, 신규 MFA 등록 알림을 함께 점검하는 것이 좋습니다.
개인 사용자도 같은 원칙을 적용할 수 있습니다. 화면공유 중에는 비밀번호 관리자, 이메일, 클라우드 콘솔, 결제 화면을 열지 말고, 누군가 “지금 승인만 눌러 달라”고 재촉하면 통화를 끊고 공식 연락처로 다시 확인해야 합니다. 이번 영상은 이런 공격이 어떤 순서로 이어지는지, 그리고 한 번 의심하면 어디서 끊을 수 있는지를 짧게 보여줍니다.