마이크로소프트 계정 피싱, 3만5천명 당했어요 — 나는 괜찮을까?

회사 메일 쓰려고 아웃룩 열었는데 갑자기 로그인 화면이 뜨는 거예요. "보안을 위해 다시 로그인해 주세요"라고. 바쁜 오전이라 대충 아이디랑 비밀번호 쳤는데, 왠지 모르게 계속 오류가 나더라고요. 그냥 인터넷 문제겠지 하고 넘겼는데… 그게 바로 피싱 사이트였을 수도 있어요.

솔직히 저도 처음엔 "설마 나까지 당하겠어?" 싶었거든요. 근데 이번에 뉴스 보고 나서 진짜 등골이 오싹했어요. 전 세계 26개국, 무려 3만 5천 명이 마이크로소프트 계정을 노린 피싱 공격에 표적이 됐다는 거예요. 그냥 무작위가 아니라, 딱 찍어서 공격한 거라는 게 더 무서웠어요.

---

근데 이번 사건이 뭔데요?

이번에 보안 연구팀이 포착한 건 마이크로소프트(Microsoft) 계정을 노린 대규모 피싱(가짜 사이트나 메일로 개인정보를 빼내는 수법) 캠페인이에요. 2024년부터 활동해온 해킹 그룹이 무려 26개국에 걸쳐 3만 5천 명 이상을 표적으로 삼았다고 해요.

여기서 포인트는 "표적 공격"이라는 거예요. 그냥 뿌리는 스팸이 아니라, 특정 회사, 특정 직책, 특정 사람을 골라서 공격했다는 거거든요. 주로 금융, 컨설팅, 의료, 법률 분야 종사자들이 많이 당했다고 하더라고요. 중요한 정보를 많이 다루는 사람들이 타깃이 된 거예요.

더 무서운 건 이 그룹이 쓴 수법이에요. "Adversary-in-the-Middle"(중간자 공격)이라는 기술을 썼는데, 쉽게 말하면 진짜 마이크로소프트 로그인 페이지 앞에 해커가 만든 가짜 중계 서버를 끼워 넣는 거예요. 그러면 내가 아무리 진짜 주소처럼 생긴 사이트에 로그인해도, 내 아이디·비밀번호·심지어 2단계 인증 코드까지 그대로 해커한테 넘어가는 거예요.

---

2단계 인증 켜놨는데도 당한다고요?

이게 진짜 충격이었어요. 저도 "나는 2단계 인증(OTP) 켜놨으니까 괜찮겠지" 생각했거든요. 근데 이 수법은 그걸 통째로 우회해버려요.

내가 가짜 사이트에 아이디, 비밀번호 넣으면 → 해커 서버가 그걸 받아서 진짜 마이크로소프트 서버에 대신 넣어줘요 → 그러면 진짜 서버에서 "OTP 코드 입력하세요" 화면이 뜨고 → 그게 다시 나한테 보여지는 거예요 → 내가 OTP까지 입력하면 → 해커가 그것까지 낚아채서 진짜 로그인을 완성시켜 버리는 거예요.

이 과정이 실시간으로, 몇 초 안에 일어나요. 나는 그냥 평소처럼 로그인한 것 같은데, 이미 계정이 해커 손에 넘어간 거예요. 진짜로요.

---

나는 안 당하겠지? 싶은 분들한테

이런 공격의 시작은 대부분 이메일 한 통이에요. "귀하의 계정에 이상한 로그인이 감지됐습니다", "보안 정책이 변경됐으니 다시 인증해 주세요", "공유된 파일이 있습니다" 같은 내용이에요. 딱 봐도 수상하면 안 속겠죠.

근데 이게 회사 상사나 동료 이름으로 오거든요. 이번 공격 그룹은 미리 회사 내부 구조를 파악하고 실제 임원이나 팀장 메일처럼 위장해서 보냈다고 해요. 바쁜 업무 중에 팀장님이 "이 파일 좀 확인해줘요" 하고 링크 보내면 아무 생각 없이 누르잖아요.

사실 보안 전문가들도 맥락이 자연스러우면 헷갈린다고 해요. 우리 같은 일반인이 순간적으로 구별하기가 정말 어려운 거예요.

---

실제로 이렇게 당해요 — 시나리오

어느 날 회사 이메일로 메일이 한 통 와요. 발신자는 딱 봐도 회사 IT팀 같은 주소예요. 내용은 "마이크로소프트 계정 보안 업데이트가 필요합니다. 아래 링크에서 확인해 주세요." 링크를 누르면 진짜 마이크로소프트 로그인 화면이 뜨는 거예요. 주소창도 얼추 비슷해 보이고요.

로그인하면 "OTP를 입력하세요" 화면이 나와요. 핸드폰으로 온 인증번호 입력하면 "완료됐습니다" 화면이 뜨고요. 나는 "아, 보안 업데이트 했나 보다" 하고 넘겨요. 근데 그 순간 이미 해커는 내 계정으로 로그인 완료한 거예요.

이후에 해커는 내 메일함을 뒤지고, 거래처 정보·회사 기밀·다른 동료 연락처를 빼가요. 심하면 내 이름으로 동료들한테 또 피싱 메일을 보내기도 해요. 나 하나가 뚫리면 회사 전체가 위험해지는 거예요.

---

그럼 어떻게 하면 되냐고요? 지금 당장 할 수 있는 것들

① 패스키(Passkey) 또는 FIDO2 보안 키 쓰기

이번 공격처럼 OTP도 뚫리는 상황에서 가장 강력한 방어법이 바로 패스키(Passkey)예요. 패스키는 비밀번호 없이 지문이나 얼굴 인식으로 로그인하는 방식인데, 중간에 가로챌 코드 자체가 없어서 중간자 공격이 안 먹혀요. 마이크로소프트 계정 설정에서 지금 바로 켤 수 있어요.

② 링크 누르기 전에 3초만 멈추기

메일로 온 링크, 절대 그냥 누르지 마세요. 마우스를 링크 위에 올려놓으면 실제 주소가 아래 상태바에 보여요. microsoft.com이 아닌 다른 주소면 100% 피싱이에요. 모바일에선 링크를 꾹 눌러서 주소 미리보기 확인하는 습관을 들이세요.

③ 직접 주소 입력하는 습관 들이기

로그인이 필요하면 메일 링크 말고 브라우저에 직접 주소를 타이핑하는 게 제일 안전해요. 귀찮아도 이게 진짜 가장 확실한 방법이에요.

④ 마이크로소프트 계정 최근 로그인 기록 확인하기

account.microsoft.com → 보안 → 로그인 활동에 들어가면 최근에 어디서 로그인했는지 다 나와요. 모르는 나라나 기기가 있으면 바로 비밀번호 바꾸고 모든 세션 종료해야 해요.

⑤ 회사 IT팀에 알리기

수상한 메일을 받았다면 혼자 판단하지 말고 회사 IT 담당자나 보안팀에 바로 신고하세요. 내가 뚫리면 동료까지 위험해지거든요. 괜히 창피하다고 숨기지 마세요.

---

자주 묻는 질문 (FAQ)

Q: 구글 계정이나 네이버 계정은 괜찮나요?

A: 솔직히 마이크로소프트만의 문제가 아니에요. 이 중간자 공격 수법은 구글, 네이버, 카카오 등 어떤 서비스에도 적용될 수 있어요. 특히 업무용으로 많이 쓰는 계정일수록 더 주의가 필요해요. 패스키 지원 서비스는 모두 패스키로 전환하는 게 가장 안전해요.

Q: 이미 의심스러운 링크를 눌렀는데 어떻게 해야 하나요?

A: 일단 당황하지 말고요. 로그인까지 했다면 지금 바로 마이크로소프트 계정 사이트에 직접 접속해서 비밀번호를 변경하고, 로그인 활동에서 모르는 세션을 모두 종료하세요. 그리고 회사 계정이라면 IT팀에 즉시 알려야 해요. 링크만 누르고 아무것도 입력 안 했다면 크게 걱정 안 해도 되는데, 백신 프로그램으로 검사 한 번 돌려보는 게 좋아요.

Q: 2단계 인증(OTP)을 켰는데도 정말 뚫리나요?

A: 네, 이번 사건에서 확인된 것처럼 문자나 앱으로 받는 일반 OTP 방식은 중간자 공격에 뚫릴 수 있어요. 다만 패스키(Passkey)나 FIDO2 방식의 하드웨어 보안 키는 이 공격이 통하지 않아요. OTP보다 한 단계 더 강력한 인증 방식으로 바꾸는 걸 진지하게 고려해 보세요.

---

보안 얘기 나오면 "나는 별로 중요한 사람도 아닌데 괜찮겠지" 싶잖아요. 근데 이번 공격 보면서 느낀 건, 해커들은 "중요한 사람"을 노리는 게 아니라 "회사에 연결된 사람"을 노린다는 거예요. 내 계정 하나가 회사 전체의 문을 여는 열쇠가 될 수 있거든요.

오늘 딱 하나만 해도 돼요. 마이크로소프트 계정에 들어가서 최근 로그인 기록만 한번 확인해 보는 거예요. 5분도 안 걸리고, 혹시 모를 상황을 미리 발견할 수 있어요. 지금 바로 해보세요, 진짜로요 😊

원문 보기

#마이크로소프트피싱 #계정보안 #피싱대처법 #2단계인증 #패스키 #사이버보안 #직장인보안 #개인정보보호