FBI는 비밀번호 없이 마이크로소프트 365 계정을 탈취하는 피싱 도구에 대해 경고했습니다.
https://nypost.com/2026/05/28/business/fbi-sounds-alarm-on-phishing-tool-that-steals-microsoft-365-accounts/
FBI는 새로운 해킹 플랫폼이 사이버 범죄자들이 다단계 인증을 완전히 우회하여 Outlook, Teams, OneDrive를 포함한 Microsoft 365 계정을 탈취할 수 있도록 허용하고 있다고 경고했습니다.
지난주 해당 기관은 Kali365라는 '서비스형 피싱' 툴킷에 대한 경고를 담은 공익 광고를 게시했습니다 . 이 툴킷은 마이크로소프트 365 액세스 토큰을 탈취하고 비밀번호를 가로채지 않고 피해자 계정에 접근하는 데 사용되고 있습니다.
연방 당국은 Kali365를 사용하면 아마추어 해커조차도 과거에는 상당한 기술적 지식이 필요했던 정교한 피싱 사기를 쉽게 실행할 수 있다고 밝혔습니다.
3
FBI는 사이버 범죄자들이 Kali365라는 새로운 피싱 플랫폼을 사용하여 마이크로소프트 365 계정을 탈취하고 다단계 인증을 우회하고 있다고 경고했습니다.Shutterstock / Minerva Studio
FBI는 "Kali365는 진입 장벽을 낮춰 기술 수준이 낮은 공격자에게 AI 기반 피싱 미끼, 자동화된 캠페인 템플릿, 실시간 개인/단체 추적 대시보드, OAuth 토큰 캡처 기능 등을 제공한다"고 경고했습니다.
이 공격 방식은 마이크로소프트의 정식 OAuth 2.0 "장치 코드" 인증 시스템을 악용합니다. 이 시스템은 스마트 TV, 스트리밍 장치 및 키보드 기능이 제한적인 기타 하드웨어에 로그인하는 데 일반적으로 사용되는 기능입니다.
공격자들은 비밀번호를 직접 훔치는 대신, 피해자가 실제 마이크로소프트 로그인 페이지에 코드를 입력하도록 유도하여, 자신도 모르게 해커의 기기에 권한을 부여하게 만듭니다.
더 알아보기
642.50달러짜리 '슈퍼볼' 델리 플래터 때문에 부당 해고를 당했다고 주장하며 해고된 JP모건 직원이 400만 달러의 배상금을 받게 되었습니다.
전 JP모건 브로커가 642.50달러짜리 델리 플래터 때문에 해고당한 사건으로 400만 달러의 배상금을 받게 됐다고 주장하며, 자신의 해고가 '계획적'이었다고 밝혔다.
전 JP모건 은행원이 성노예 소송에서 두 번째 주요 법적 타격을 입었습니다.
미 연방수사국(FBI)은 권고문에서 "기기 코드 흐름은 합법적인 인증 방법이지만, 사이버 범죄자들이 다중 인증을 우회하기 위해 적극적으로 악용하고 있다"고 밝혔습니다.
"공격자는 사용자가 마이크로소프트 공식 페이지에서 장치 코드를 입력하도록 유도함으로써 사용자의 자격 증명 없이도 계정에 대한 지속적인 접근 권한을 얻을 수 있습니다."
피해자들은 SharePoint, OneDrive 또는 Microsoft Teams와 같은 서비스를 사칭하는 피싱 이메일을 받습니다.
3
Kali365 피싱 툴킷을 사용하는 공격자는 Outlook, Teams 및 OneDrive 계정에 장기간 액세스 권한을 얻을 수 있습니다.픽스마트 – stock.adobe.com
해당 이메일은 수신자에게 마이크로소프트의 공식 기기 로그인 페이지를 방문하여 일시적인 인증 코드를 입력하도록 지시합니다.
피해자가 절차를 완료하고 MFA 검사를 통과하면 Microsoft는 유효한 OAuth 액세스 및 새로 고침 토큰을 공격자에게 직접 발급합니다.
이를 통해 해커는 피해자의 비밀번호를 다시 입력할 필요 없이 Outlook 받은 편지함, Teams 계정 및 클라우드에 저장된 파일에 접근할 수 있습니다.
FBI는 공격자가 탈취한 토큰이 수동으로 취소될 때까지 계정에 대한 지속적인 접근 권한을 유지할 수 있다고 경고했습니다.
Bespoke Concierge MD의 최고 정보 보안 책임자인 맷 버크는 마이크로소프트가 다단계 인증을 광범위하게 시행함에 따라 사이버 범죄자들이 공격 방식을 바꿔야 했기 때문에 이러한 공격이 점점 더 효과적이 되었다고 포스트지에 밝혔습니다.
3
연방 수사관들은 피해자들이 마이크로소프트의 합법적인 기기 로그인 페이지를 이용해 해커에게 권한을 부여하도록 속고 있다고 경고했습니다.FellowNeko – Stock.adobe.com
"마이크로소프트가 전 세계적으로 다단계 인증(MFA)을 시행하고 있기 때문에, 이러한 사이버 공격 방식은 MFA와 비밀번호 입력 필요성을 우회하도록 설계되었습니다."라고 그는 말했다.
어떤 산업이나 직원이 가장 취약한지 묻는 질문에 버크는 마이크로소프트 365를 사용하는 거의 모든 사람이 표적이 될 수 있다고 경고했습니다.
"일반화하는 건 정말 싫지만, 소규모 가족 사업체부터 대기업 포춘 500대 기업까지 모두에게 해당됩니다."라고 그는 말했다.
버크는 또한 조직들이 토큰 도난과 관련된 의심스러운 인증 활동을 탐지할 수 있는 타사 보안 정보 및 이벤트 관리(SIEM) 시스템을 배포해야 한다고 덧붙였습니다.
그는 "이러한 도구를 사용하면 Kali365 취약점 공격과 같은 접근 시도를 감지할 수 있으며, 적절한 보안 기능을 통해 연결을 자동으로 차단할 수 있다"고 말했다.
전문가에 따르면, 이러한 공격은 기업과 소비자가 매일 사용하는 클라우드 기반 컴퓨팅 플랫폼을 표적으로 삼기 때문에 일반 사용자들은 이 위협을 심각하게 받아들여야 합니다.
"모두가 이 해킹 사건에 대해 우려해야 합니다."라고 버크는 말했다.
사이버 보안 연구원들은 Kali365의 등장이 텔레그램과 다크 웹 포럼의 구독 서비스를 통해 숙련도가 낮은 범죄자들에게 정교한 공격 도구를 판매하는 "서비스형 피싱(phishing-as-a-service)"이라는 지하 경제가 크게 확대되었음을 의미한다고 말합니다.
수사 당국은 칼리365가 지난달 처음 발견된 이후 사이버 범죄 조직들 사이에서 빠르게 확산되고 있다고 밝혔습니다.
해당 플랫폼은 피싱 공격을 자동화하고 공격자가 피해자를 실시간으로 모니터링할 수 있는 대시보드를 제공합니다.
연방 당국은 이번 작전이 전 세계 마이크로소프트 365 환경을 겨냥한 광범위한 공격의 일환이라고 밝혔습니다.
어떻게 생각하세요? 댓글을 남겨주세요.
스캐터드 스파이더(Scattered Spider), 일명 옥토 템페스트(Octo Tempest)는 대기업을 대상으로 공격적인 사회공학적 기법과 SIM 스와핑 공격을 자행하는 것으로 악명 높은 영어권 사이버 범죄 집단입니다.
또 다른 조직인 Storm-2949는 마이크로소프트 암호 재설정 시스템과 클라우드 인증 도구를 악용하여 IT 관리자와 고위 임원을 대상으로 공격을 시도해 왔습니다.
워싱턴 포스트는 마이크로소프트 측에 논평을 요청했습니다.