CoPhish 공격 주의보: 마이크로소프트 코파일럿 스튜디오 악용한 피싱 공격 등장

최근 Datadog Security Labs에서 마이크로소프트 코파일럿 스튜디오 에이전트를 악용한 새로운 피싱 공격 기법인 ‘CoPhish’에 대한 경고를 발표했습니다. 이 공격은 OAuth 토큰을 탈취하여 공격자가 사용자의 민감한 정보에 접근할 수 있도록 합니다. 사용자들은 각별한 주의를 기울여야 합니다.

CoPhish 공격 방식 상세 분석

CoPhish 공격은 공격자가 코파일럿 스튜디오 에이전트("토픽"이라고도 함)를 만들거나 공유하는 방식으로 시작됩니다. 이 에이전트의 사용자 인터페이스에는 "로그인" 또는 동의 흐름 버튼이 포함되어 있습니다. 사용자가 이 버튼을 클릭하면 마이크로소프트 Entra/OAuth 권한을 요청하는 흐름이 시작됩니다. 사용자가 이 요청을 승인하면 공격자에게 OAuth 토큰이 전달되어, 공격자는 이를 사용하여 피해자의 메일, 채팅, 일정, 파일 및 자동화 기능에 접근할 수 있게 됩니다.

공격의 위험성과 마이크로소프트의 대응

이 공격이 특히 위험한 이유는 에이전트가 copilotstudio.microsoft.com과 같은 합법적인 마이크로소프트 도메인을 사용하기 때문입니다. 이는 사용자에게 에이전트의 진위성을 믿게 만들어 경계를 늦추게 할 수 있습니다. 마이크로소프트는 이러한 악용 가능성을 인지하고 있으며, 제품 업데이트를 통해 문제를 해결하기 위해 노력하고 있다고 밝혔습니다. 마이크로소프트 대변인은 "우리는 이 보고서를 조사했으며 향후 제품 업데이트를 통해 이를 해결하기 위한 조치를 취하고 있습니다."라고 말했습니다.

즉각적인 대응 및 보안 강화 방안

CoPhish 공격의 위험을 줄이기 위해 즉각적으로 적용할 수 있는 몇 가지 완화 방안이 있습니다. 첫째, 타사 앱 동의를 제한하고(관리자 동의 필요) 조건부 액세스 및 MFA(다단계 인증)를 적용해야 합니다. 둘째, 코파일럿 스튜디오 공유 및 게시된 에이전트를 차단하거나 면밀히 검토해야 합니다. 셋째, 비정상적인 앱 등록 및 부여된 OAuth 토큰을 모니터링하고 의심스러운 토큰 및 앱을 취소해야 합니다. 이러한 조치를 통해 조직은 CoPhish 공격으로부터 효과적으로 보호할 수 있습니다.

추가 보안 조치 및 예방 방법

지속적인 보안 강화를 위해 사용자 교육도 중요합니다. 사용자들에게 피싱 공격의 징후와 의심스러운 링크나 첨부 파일을 클릭하지 않도록 교육해야 합니다. 또한, 최신 보안 패치를 적용하고 보안 소프트웨어를 최신 상태로 유지하는 것도 중요합니다. 정기적인 보안 감사를 통해 잠재적인 취약점을 식별하고 해결하는 것도 효과적인 예방 방법입니다.

맺음말

CoPhish 공격은 소셜 엔지니어링 기법을 악용한 새로운 위협입니다. 사용자들은 항상 경계를 늦추지 않고, 앞서 언급한 보안 강화 방안을 적극적으로 적용하여 CoPhish 공격으로부터 자신을 보호해야 합니다. 마이크로소프트의 제품 업데이트와 함께 사용자들의 꾸준한 보안 의식 강화가 필수적입니다.