2026년, FBI가 경고한 Kali365 피싱은 Microsoft 365의 MFA를 우회하여 OAuth 토큰을 탈취합니다. 조직은 조건부 액세스 정책 강화 등 즉각적인 보안 대응이 시급합니다.
2026년 새로운 위협, Kali365 피싱의 등장
현재 2026년, 디지털 환경은 그 어느 때보다 연결되어 있지만, 동시에 끊임없이 진화하는 사이버 위협에 노출되어 있습니다. 최근 FBI는 ‘Kali365’라는 새로운 피싱 도구에 대한 긴급 경고를 발표하며 전 세계 IT 보안 전문가들을 긴장시켰습니다. 이 강력한 도구는 Microsoft 365 계정을 표적으로 삼으며, 기존의 다단계 인증(MFA) 프로토콜마저 무력화시키는 고도화된 공격 방식을 사용합니다. 조직의 핵심 비즈니스 운영과 민감한 데이터가 Microsoft 365에 의존하고 있는 만큼, Kali365는 단순한 피싱을 넘어선 심각한 보안 도전으로 부상했습니다.
Kali365의 은밀한 공격 방식: OAuth 토큰 탈취
Kali365 피싱의 핵심은 사용자 자격 증명(아이디, 비밀번호)을 직접 탈취하지 않고 Microsoft 365 접근 토큰을 획득한다는 점입니다. 공격자는 피해자의 Microsoft 365 계정과 연결된 OAuth 토큰을 교묘하게 가로챕니다. 이는 일반적인 피싱처럼 신뢰할 수 있는 클라우드 문서 공유 서비스인 것처럼 가장한 이메일을 통해 시작됩니다. 사용자에게 합법적인 Microsoft 사이트에서 특정 코드를 입력하도록 지시하지만, 실제로는 이 코드가 공격자의 장치에 피해자의 Microsoft 계정 접근 권한을 부여하는 역할을 합니다. 사용자는 의심하지 않고 코드를 입력함으로써 무의식적으로 계정을 넘겨주게 됩니다.
다단계 인증(MFA)마저 무력화하는 정교함
기존의 강력한 보안 수단으로 여겨졌던 다단계 인증(MFA)도 Kali365 앞에서는 속수무책입니다. Kali365는 사용자 이름과 비밀번호를 탈취하는 대신, 이미 인증된 세션에서 생성되는 OAuth 토큰을 직접 가로채기 때문에 MFA가 개입할 여지를 주지 않습니다. 이는 사용자가 MFA를 통해 성공적으로 로그인한 후에도, 공격자가 탈취한 유효한 토큰을 사용하여 무단으로 계정에 접근하고 다양한 작업을 수행할 수 있음을 의미합니다. 이러한 방식은 기존 보안 솔루션의 탐지를 회피하기 매우 용이하며, 조직의 보안 모델 전반에 대한 재검토를 요구합니다.
FBI의 즉각적인 권고: 조건부 액세스 정책 강화
FBI는 Kali365 공격에 대한 피해를 최소화하기 위해 IT 보안 관리자들에게 몇 가지 중요한 지침을 전달했습니다. 가장 핵심적인 권고 사항은 모든 사용자에 대해 코드 흐름(Code Flow)을 차단하는 조건부 액세스 정책을 생성하는 것입니다. 이는 Microsoft Azure Active Directory(AAD) 내에서 구현될 수 있으며, 특정 비즈니스 프로세스에 필수적인 경우에만 예외를 두어 제한적인 허용을 해야 합니다. 이러한 정책은 OAuth 토큰 탈취 시도를 원천적으로 차단하고, 잠재적인 위협에 대한 방어선을 강화하는 데 필수적입니다.
인증 전송 정책 차단으로 접근 통제
또 다른 중요한 FBI의 권고 사항은 인증 전송 정책(Authentication Transfer Policies)을 차단하는 것입니다. 이 정책은 사용자가 기업용 PC와 같은 안전한 환경에서 로그인한 후, 그 인증 정보를 모바일 장치와 같은 다른 기기로 넘겨주는 것을 방지합니다. Kali365와 같은 공격은 이러한 인증 전송 과정의 취약점을 악용하여 공격자의 장치에 합법적인 접근 권한을 부여할 수 있습니다. 기업은 이러한 정책을 엄격하게 관리하여, 인가되지 않은 장치나 환경에서의 접근을 철저히 통제해야 합니다.
2026년, 여전히 피싱은 최대 보안 위협
피싱은 2026년 현재에도 조직이 직면한 가장 심각한 보안 위협 중 하나로 확고히 자리 잡고 있습니다. 올해 1월에 발표된 세계 경제 포럼 보고서에 따르면, 전 세계 최고경영자(CEO)들은 피싱 공격을 자신들의 조직이 직면한 주요 보안 위협으로 꼽았습니다. 더 나아가, 지난 1년간 피싱 공격의 수가 증가했다고 응답한 조직이 무려 77%에 달합니다. Kali365의 등장은 이러한 증가세를 더욱 가속화하며, 피싱 공격이 단순히 양적으로만 늘어나는 것이 아니라 질적으로도 고도화되고 있음을 명확히 보여줍니다.
제로 트러스트(Zero Trust) 모델로 선제적 방어
Kali365와 같은 고도화된 공격에 효과적으로 대응하기 위해서는 ‘제로 트러스트(Zero Trust)’ 보안 모델의 도입이 필수적입니다. 제로 트러스트는 "절대 신뢰하지 말고, 항상 검증하라"는 원칙에 기반하여, 내부 사용자나 장치라도 네트워크에 접근할 때마다 신원과 권한을 재확인합니다. 이를 통해 OAuth 토큰 탈취와 같은 무단 접근 시도를 사전에 감지하고 차단할 수 있습니다. 모든 접근 요청에 대해 엄격한 검증 절차를 적용함으로써 공격자의 침투 경로를 최소화하고 보안 태세를 강화할 수 있습니다.
지속적인 사용자 교육과 보안 감사 강화
기술적인 방어벽 구축만큼 중요한 것은 바로 조직 구성원들의 보안 인식과 교육입니다. IT 관리자는 Kali365와 같은 최신 피싱 수법에 대한 정보를 지속적으로 공유하고, 의심스러운 이메일이나 웹사이트 링크를 식별하고 보고하는 방법을 정기적으로 교육해야 합니다. 또한, 모의 피싱 공격을 주기적으로 실시하여 사용자들의 대응 능력을 점검하고 미흡한 부분을 보완해야 합니다. 정기적인 보안 감사와 취약점 진단도 필수적으로 실시하여 잠재적인 보안 허점을 사전에 발견하고 개선해야 합니다.
Kali365에 맞서는 조직의 결단과 투자
Kali365는 단순한 위협을 넘어, Microsoft 365 환경을 사용하는 모든 조직에게 근본적인 보안 전략의 변화를 요구하고 있습니다. 2026년의 사이버 보안 환경은 더욱 복잡하고 예측 불가능해지고 있으며, 이에 대한 조직의 지속적인 경각심과 선제적인 보안 투자가 없다면 치명적인 결과를 초래할 수 있습니다. FBI의 경고를 심각하게 받아들이고, 조건부 액세스 정책 강화, 인증 전송 정책 차단, 제로 트러스트 모델 도입, 그리고 사용자 교육에 대한 아낌없는 투자를 통해 소중한 디지털 자산을 안전하게 보호해야 할 시점입니다.
