OAuth 장치 등록 악용 피싱 공격 급증. MFA 우회, 계정 탈취 시도. 기업 보안 주의 요망.
2026년 현재, 다단계 인증(MFA)을 무력화하는 OAuth 장치 등록 악용 피싱 공격이 북미 기업 및 전문가를 중심으로 확산되고 있어 주의가 요구됩니다.
OAuth 피싱 공격이란 무엇인가
이 공격은 공격자가 이메일 링크를 통해 사용자를 속여 악성 코드를 입력하게 만듭니다. 사용자는 합법적인 Microsoft Office 365 로그인 페이지로 리디렉션되지만, 실제로는 공격자가 제어하는 장치에 대한 OAuth 토큰을 발급하게 됩니다. 이를 통해 공격자는 사용자의 Microsoft 계정, Outlook, Teams, OneDrive 등에 접근할 수 있게 됩니다.
공격의 작동 방식
공격자는 사용자가 링크를 클릭하도록 유도하기 위해 회사 자금 지급, 급여 보너스 관련 문서, 음성 메일 등 다양한 내용으로 위장합니다. 사용자가 링크를 클릭하고 ‘보안 인증’ 코드를 입력하면, 합법적인 Microsoft 로그인 페이지로 연결되므로 사용자는 의심 없이 코드를 입력합니다. 하지만 이 코드는 공격자가 미리 등록해둔 장치에 대한 접근 권한을 부여하는 역할을 합니다.
오래된 수법의 재등장
KnowBe4는 이 공격을 새로운 유형으로 분류했지만, SANS Institute의 Johannes Ullrich는 ‘오래된 수법의 재탕’이라고 평가했습니다. Trend Micro에 따르면 Pawn Storm이라는 공격자는 2015년부터 OAuth를 활용한 피싱 공격을 감행해왔습니다. 2020년에는 Microsoft가 ‘동의 피싱’에 대한 경고를 발표하기도 했습니다.
효과적인 방어 전략
가장 효과적인 방어 전략은 사용자가 계정에 연결할 수 있는 애플리케이션을 제한하는 것입니다. Microsoft는 기업 관리자에게 OAuth를 통해 사용자가 승인할 수 있는 특정 애플리케이션을 허용 목록에 추가하는 기능을 제공합니다. 또한, Office 365에 추가 로그인 장치를 추가하는 기능을 비활성화하는 것도 좋은 방법입니다. David Shipley는 OAuth 장치 코드 공격이 2024년부터 증가 추세에 있다고 언급하며, MFA의 개선에 대한 자연스러운 진화적 반응이라고 분석했습니다.
사용자와 IT 관리자의 역할
사용자는 Microsoft, Google 등 로그인 계정에 인증된 장치 수를 확인하고, 로그인 페이지로 연결되는 이메일 링크를 의심해야 합니다. IT 관리자는 Microsoft Entra 관리 센터에서 ‘장치 코드 흐름’을 비활성화하여 장치 코드 사용을 제한할 수 있습니다. AppOmni의 Cory Michal은 OAuth 토큰 및 서비스/통합 ID가 많은 조직에서 사각지대에 놓여있다고 지적하며, SaaS 환경에서 실행되는 통합을 감사하고 필요한 권한만 부여하도록 권고합니다.
보안 인식 교육의 중요성
직원들에게 새로운 사회 공학 기법의 위험성을 지속적으로 교육하고, 이와 유사한 피싱 시뮬레이션을 실시하여 실제 공격 발생 시 보고하도록 유도해야 합니다. KnowBe4의 Roger Grimes는 사용자가 합법적인 도메인에 로그인하더라도 공격자의 장치 토큰을 얻는 것이 목표일 수 있다는 점을 강조했습니다. 사용자는 URL이 microsoft.com이더라도 안심해서는 안 됩니다.
OAuth 토큰은 강력한 MFA 환경에서도 지속적인 노출을 야기할 수 있습니다. IT 리더는 토큰 보안, 로깅, 사고 대응 및 안전한 통합 패턴에 대한 명확한 요구 사항을 설정하고, 테넌트 구성 및 모니터링을 강화하여 통합 활동이 최소 권한으로 유지되고, 관찰 가능하며, 신속하게 대응할 수 있도록 해야 합니다.
