2026년 마이크로소프트는 OAuth 리다이렉션 악용 피싱 공격에 대해 경고했습니다. 안전해 보이는 링크가 멀웨어로 이어지는 새로운 위협에 대한 분석과 기업의 대응 방안을 자세히 다룹니다.
2026년 마이크로소프트, 새로운 OAuth 피싱 공격 경고
2026년 현재, 마이크로소프트는 OAuth 인증 프로토콜의 합법적인 리다이렉션 기능을 악용하는 정교한 피싱 공격에 대해 강력히 경고했습니다. 공격자들은 Microsoft Entra ID나 Google Workspace 같은 신뢰할 수 있는 신원 공급자의 도메인을 가리키는 링크를 사용하여, 겉보기에는 안전해 보이는 경로를 통해 피해자를 멀웨어로 유도합니다. 이 링크들은 정상적인 것처럼 보이지만, 결국 공격자가 제어하는 악성 웹페이지로 연결됩니다. 이는 신뢰받는 인프라의 내장 기능을 악용하는 새로운 형태의 사이버 위협으로, 기업과 사용자 모두에게 각별한 주의와 보안 인식의 전환이 요구됩니다. 마이크로소프트는 이러한 위협이 계속되고 있다고 밝혔습니다.
교묘한 공격 방식 이해
이 공격은 매우 설득력 있는 피싱 이메일로 시작됩니다. observed lures는 전자서명 요청, 긴급 인사 관련 통신, 중요한 Microsoft Teams 회의 초대, 또는 심지어 합법적인 암호 재설정 알림 등으로 위장하여 사용자를 속입니다. 악성 링크는 이메일 본문에 직접 삽입되거나 PDF 첨부 파일 내에 교묘하게 숨겨져 있습니다. 이 링크는 실제 OAuth 권한 부여 엔드포인트를 지향하지만, ‘prompt=none’ 값과 유효하지 않은 ‘scope’ 값을 포함하는 등 의도적으로 잘못된 매개변수로 구성됩니다. 이러한 조합은 인증 실패를 유도하며, 이 실패 시 신원 공급자는 표준 규격에 따라 사용자 브라우저를 공격자가 미리 등록한 URI로 리다이렉트하게 됩니다.
URL 대신 컨텍스트를 검증해야 할 2026년
Greyhound Research의 Sanchit Vir Gogia 수석 분석가는 이 공격이 “첫 번째 연결은 실제이며, 브라우저와 신원 공급자는 올바르게 작동하고, 신뢰 신호는 진짜다”라고 강조하며, 피싱이 브랜드 계층의 기만에서 워크플로우 계층의 조작으로 전환되었음을 경고했습니다. IDC Asia/Pacific의 Sakshi Grover 선임 연구 관리자는 오랫동안 유효했던 “링크 위에 마우스를 올려 도메인을 확인하라”는 조언이 더 이상 통하지 않는다고 지적했습니다. 2026년에는 조직이 “링크를 확인하라”는 메시지 대신 “컨텍스트를 검증하라”는 메시지로 보안 인식을 전환해야 합니다. 사용자는 인증 요청이 예상된 것인지, 현재 업무 활동과 일치하는지, 그리고 애플리케이션이 요청하는 권한이 합리적인지 질문하도록 훈련받아야 합니다.
실제 공격 캠페인 사례들
마이크로소프트가 상세히 설명한 한 캠페인에서는, 교묘한 리다이렉트를 통해 악성 바로가기 파일(.lnk)이 포함된 ZIP 아카이브가 피해자의 장치에 다운로드되었습니다. 이 압축 파일을 열고 바로가기 파일을 실행하면 파워쉘 스크립트가 트리거되어 시스템 정보 수집 명령을 수행하고 궁극적으로 공격자 통제 서버에 연결되었습니다. 마이크로소프트는 이러한 후속 활동이 랜섬웨어 사전 행동과 일치한다고 분석했습니다. 다른 캠페인에서는 피해자들을 EvilProxy와 같은 정교한 중간자(Adversary-in-the-Middle) 프레임워크로 유도하여 사용자 자격 증명과 세션 쿠키를 성공적으로 탈취했습니다. 이는 공격자들이 광범위한 피해를 입히기 위해 다양한 수법을 사용하고 있음을 보여줍니다.
기업이 당장 취해야 할 보안 조치
마이크로소프트는 조직이 이러한 위협에 대응하기 위해 구체적인 조치를 취할 것을 강력히 권고했습니다. 첫째, 서드파티 OAuth 애플리케이션에 대한 사용자 동의를 엄격하게 제한해야 합니다. 둘째, 모든 OAuth 앱의 권한을 정기적으로 감사하고, 사용되지 않거나 과도한 권한을 가진 애플리케이션은 즉시 제거해야 합니다. 마이크로소프트는 이번 위협 행위자들과 관련된 16개의 클라이언트 ID와 여러 초기 리다이렉션 URL을 침해 지표(IoC)로 공개했습니다. 또한, Microsoft Defender XDR 고객을 위해 이메일, ID, 엔드포인트 신호 전반에서 관련 활동을 식별하는 데 도움이 되는 KQL(Kusto Query Language) 헌팅 쿼리를 제공하여 2026년에도 선제적인 위협 탐지를 돕고 있습니다.
간과되던 거버넌스 격차
두 분석가 모두 이러한 공격 캠페인이 악용하는 더 깊은 구조적 문제로 OAuth 애플리케이션 거버넌스의 격차를 지적했습니다. IDC의 Sakshi Grover는 많은 기업에서 거버넌스 성숙도가 여전히 불균형하며, 특히 클라우드 및 SaaS 도입이 신원 거버넌스 제어를 앞지른 환경에서 광범위한 기본 동의 설정과 리다이렉트 URI에 대한 제한된 모니터링이 흔하다고 언급했습니다. Greyhound Research의 Gogia는 SaaS 통합, 자동화 워크플로우, 협업 도구 등 모든 과정이 애플리케이션 등록을 요구하며, 시간이 지남에 따라 수백 또는 수천 개의 앱이 누적되지만, 리다이렉트 URI는 설정 시 구성된 후 거의 재검토되지 않아 공격에 취약한 상태를 만든다고 경고했습니다. “원격 측정은 존재하지만, 해석이 없다”는 그의 지적은 핵심을 찌릅니다.
행동 변화와 신속한 보고의 중요성
Gogia는 기업이 근본적인 사용자 행동을 완전히 바꿔야 한다고 주장합니다. 그는 “요청하지 않은 인바운드 링크로부터 인증 여정을 절대 시작하지 마십시오. 인증은 이메일 트리거가 아닌 통제된 시작점에서 시작되어야 합니다”라고 강조했습니다. 또한, 예상치 못한 로그인 여정이나 의심스러운 활동을 발견했을 때, 이를 보고하는 과정을 최대한 마찰 없이 만들어야 한다고 덧붙였습니다. 개인적인 판단의 확신보다 신속하게 보고하는 것이 2026년의 복잡한 보안 환경에서는 훨씬 더 가치 있습니다. 사용자의 교육과 함께, 의심스러운 상황을 즉시 알릴 수 있는 시스템과 문화 구축이 필수적입니다.
2026년에도 지속될 위협과 대응
이러한 공격 기술은 기업이 현재의 거버넌스 격차를 해소하지 않는 한 계속해서 매우 효과적일 것입니다. 공격자들이 암호화를 해독하는 것이 아니라, 관리적 안일함과 기존 프로토콜의 합법적 기능을 악용하고 있기 때문입니다. 2026년에도 사이버 보안 환경은 끊임없이 진화하며, 공격자들은 신뢰할 수 있는 시스템의 취약점을 찾아내 악용할 것입니다. 조직은 마이크로소프트의 경고를 심각하게 받아들이고, 제시된 권장 사항을 즉시 이행하며, OAuth 애플리케이션 환경에 대한 지속적인 모니터링과 거버넌스 강화를 통해 보안 태세를 한층 더 강화해야 합니다. 선제적인 대응과 사용자 교육이 미래의 위협으로부터 조직을 보호하는 핵심 열쇠입니다.
