마이크로소프트 팀즈 사용자를 위한 경고, 새 피싱 수법 주의
안녕하세요, 여러분. IT 전문 블로거로서 오랫동안 디지털 보안 분야를 주목해 온 저입니다. 최근 보안 업계 내에서 큰 화두로 떠오르고 있는 새로운 위협에 대해 자세히 설명하고 싶어 글을 올립니다. 바로 마이크로소프트 팀즈를 핵심 도구로 사용하는 기업 사용자들을 노리고 있는 정교한 피싱 및 멀웨어 배포 공격입니다. 만약 여러분이 매일 업무에 팀즈를 사용 중이라면, 이 글을 읽고 주의 깊은 자세로 일해야 합니다.
보안 연구 기관인 블루보이언트에서 공개한 분석 결과를 보면, 최근 공격들이 매우 조직적이고 체계적으로 이루어지고 있다는 사실을 알 수 있습니다. 공격자들은 첫 단계로 대량의 스팸메일을 무차별로 발송합니다. 이를 통해受害자의收件함을 가득 채우고, 사용자의 방심을 유도하는 것입니다. 이메일상자가 정적 메일과 스팸으로 가득 찼을 때, 사용자가 이를 해결하기 위해 외부 지원에 의존할 마음이 들기 마련인데, 이때 악용된다는 것입니다.
두 번째 단계는 매우 교묘합니다. 공격자는 스팸 해결자 역할을 하고 싶다고 말하며, IT 지원 부서 소속된 기술자라는 가면을 쓴 뒤 연락을 취합니다. 여기서 그들은 사용자에게 ‘원격 지원’ 도구를 사용할 것을 요청합니다. 특히 빠른 지원 도구인 Quick Assist 도구를 통해 PC 에 접근을 요청합니다. 많은 사용자가 이것이 정상적인 지원 절차라고 인식하지만, 실제로는 공격자의 권한이 사용자의 PC 로 넘어가는 결정적인 단계입니다.
세 번째 단계에서는 진짜 위협이 숨어있습니다. 원격 세션이 열리면, 공격자는 ‘스팸 해결’한다는 미명 하에 악성 코드인 A0Backdoor을 시스템에 배포합니다. 이 멀웨어는 마이크로소프트 팀즈의 자체 구성요소인 CrossDeviceService 등을 위장하여 시스템에 녹아듭니다. 여기서 중요한 것은 DLL 사이드로딩 기술을 사용한다는 점입니다. 이는 정상적인 프로그램 파일을 통해 악성 코드를偷偷히 로드하는 방식이며, 방화벽조차 잘 막기 어렵다는 특징이 있습니다.
그 결과, 공격자는 사용자의 계정을 완전히 장악해버립니다. 원격 코드 실행 (RCE) 권한을 얻은 뒤의 상황은 매우 불행합니다. RCE 는 서버나 PC 에서 사용자가 의도하지 않은 명령을 자유자재로 실행할 수 있게 한다는 것을 의미합니다. 이를 통해 공격자는 임의의 스크립트를 실행하거나, 추가적인 랜섬웨어를 다운로드하고 설치할 수 있습니다. 또한 네트워크 내 다른 기기들도 해킹하여 내부적 이동을 시도하고, 중요한 기밀 데이터를 탈취할 수 있으며, 시스템에 장기간 침투하여 유지할 수도 있습니다.
최근 테크래다의 보도에 따르면, 이 위협 행위자는 과거 ‘블랙 바스타’ 랜섬웨어 가단과 밀접한 연관이 있는 것으로 보입니다. 블랙 바스타 는 한때 가장危险的한 해킹 그룹 중 하나로, 전 세계 많은 기업들을 위협했습니다. 다만 2025 년 초에 활동이 숨었다고 알려졌는데, 다시금 유사한 공격이 나타나면서 다시 활동하고 있다는 것이 우려됩니다. 즉 Attribution, 공격자 동의를 확인하는 것은 어렵지만, 과거 행태와 일치해 ‘블리츠 브리간틴’이라 불리는 그룹과 연관될 가능성이 높습니다.
현재까지 확인된 피해자는 두 곳입니다. 하나는 캐나다 기반 금융 기관이고, 또 다른 하나는 전 세계에 서비스를 제공하는 의료 관련 조직입니다. 구체적인 사기는 아직 공개되지 않았으며, 해커들은 자신들의 행위를 드러내려 하지 않고 있습니다. 이는 그들이 피해자를 숨길 수 있다는 것을 의미하며, 실제 피해 규모가 이보다 훨씬 크지 않을까 하는 우려가 듭니다.
이런 상황에서 일반 직원에게 해킹으로부터 벗어나려면 어떻게 해야 할까요? 첫 번째로, 이상한 메일을 받았을 때 즉석에서 해결해달라는 요청이라면 무조건 거절하세요. 두 번째로, 원격 지원은 절대로 모르는 사람에게는 허용하지 마세요. 제 3 차로, IT 담당자의 요청이더라도 본인의 이름 확인과 함께 보안 팀과 상의하는 것이 좋습니다. 회사 내 IT 보안 정책이 마련되어 있다면, 의심스러운 요청에 대해 즉각적인 신고 경로를 마련해두는 것이 필수적입니다.
마지막으로, 기술적인 측면에서도 각별한 주의를 기울여야 합니다. 마이크로소프트 팀즈 패치를 항상 최신 상태로 유지하세요. 최신 패치는 이러한 원격 코드 실행 및 DLL 사이드로딩 취약점에 대한 수정 패치를 포함하므로 정기적인 업데이트가 중요할 수 있습니다. 또한, 사용자에게 보안 인식이 필요한 교육도 병행해야 합니다. 단순히 기술적인 방어만으로는 인간의 실수를 막기 어렵기 때문입니다.
디지털 공간은 안전하지 않은 곳이 많습니다. 하지만 우리가 각별한 주의를 기울이고, 위험한 상황을 인지할 수 있다면 예방은 충분히 가능합니다. 오늘 공유해드린 공격은 단순한 스팸은 다르며, 사용자의 신뢰를 악용하여 시스템에 침투하는 새로운 공격 방식입니다. IT 보안 의식을 높이고, 오늘 소개된 정보를 바탕으로 팀즈 사용 환경의 안전함을 지켜주면 좋겠습니다. 더 많은 보안 정보를 얻고 싶다면 이 블로그를 계속 체크해 주시기 바랍니다. 감사합니다.
이 글은 Latest from TechRadar의 기사를 바탕으로 작성되었습니다.
