연방수사국(FBI)이 비밀번호 없이도 마이크로소프트 계정에 침투할 수 있는 새로운 피싱 수법이 확산되고 있다며 이용자들에게 주의를 당부했다.
FBI에 따르면 ‘칼리365(Kali365)’로 불리는 새로운 피싱 플랫폼은 지난 4월 처음 확인됐으며, 메신저 앱 텔레그램을 통해 주로 유포되고 있다. 이 수법은 다중 인증(MFA) 절차까지 우회할 수 있는 것으로 전해졌다.
이 해킹은 일반적으로 문서 공유 서비스 등을 사칭한 이메일로 시작된다. FBI는 해당 이메일에 실제 마이크로소프트 인증 페이지 주소와 함께 특정 디바이스 코드를 입력하라는 안내가 포함돼 있다고 설명했다.
사용자가 이를 정상적인 인증 절차로 착각해 실제 마이크로소프트 페이지에 접속한 뒤 코드를 입력하면, 자신도 모르게 공격자에게 계정 접근 권한을 넘기게 된다.
이후 공격자는 인증 토큰을 확보해 아웃룩(Outlook) 이메일, 팀즈(Teams) 메시지, 원드라이브(OneDrive) 파일 등 마이크로소프트 365 서비스에 접근할 수 있게 된다. FBI는 이 과정에서 공격자들이 비밀번호를 알 필요도 없고 추가 다중 인증 절차도 거치지 않는다고 경고했다.
FBI는 또 칼리365가 인공지능 기반 피싱 문구 생성 기능을 활용해 경험이 부족한 해커들도 쉽게 공격할 수 있도록 돕고 있으며, 특정 이용자를 실시간으로 추적하는 기능까지 제공한다고 밝혔다.
FBI는 피해 예방을 위해 디바이스 코드 인증 기능을 제한하는 조건부 접근 정책을 설정하고, 현재 해당 기능 사용 권한이 있는 계정이 정상 계정인지 점검할 것을 권고했다. 또 컴퓨터 인증을 모바일 기기로 이전하는 기능을 차단하고, 비상 접근 계정은 잠금 방지를 위해 예외 처리할 것을 당부했다.
마이크로소프트 측도 FBI 권고 사항에 동의한다며, 피싱 시도를 구별하는 방법을 익히고 출처가 불분명한 파일은 열지 말아야 한다고 강조했다. 또한 운영체제와 응용프로그램을 최신 보안 업데이트 상태로 유지해야 한다고 밝혔다.
마이크로소프트는 “고객 보호를 위해 피싱 서비스와 계정 탈취 활동을 벌이는 사이버 범죄 조직 차단 작업을 적극 진행하고 있다”고 밝혔다.
<김승재 기자>
[시카고 한인사회 선도언론 시카고 한국일보]
1038 S Milwaukee Ave Wheeling, IL 60090
제보: 847.290.8282
