QR코드 찍었더니 가짜 로그인창…이메일 피싱 더 교묘해졌다 작성일 05-14 21 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">QR코드·캡차 우회형 공격 급증…자격 증명 탈취 노린 이메일 피싱 고도화</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="V4ssHUqFjZ"> <p contents-hash="84bcf3dc423274b7bfc3f13dbef34a5d625656699b2a96f6e4b72e0407e057fe" dmcf-pid="f8OOXuB3aX" dmcf-ptype="general">(지디넷코리아=장유미 기자)올해 1분기 전체 이메일 위협 10건 중 8건은 링크 기반 공격으로 나타났다. QR코드와 캡차를 활용한 우회형 피싱도 빠르게 늘며 자격 증명 탈취를 노린 이메일 공격이 한층 정교해진 분위기다.</p> <p contents-hash="2423cf0271e7ccb67650b62330b6898682c913cc729fdd62e7c58dc675afe466" dmcf-pid="46IIZ7b0oH" dmcf-ptype="general">14일 마이크로소프트 위협 인텔리전스가 발표한 '2026년 1분기 이메일 위협 환경 분석 보고서'에 따르면 이 기간 동안 탐지한 이메일 기반 피싱 공격은 약 83억 건에 달했다. 월별로는 1월 29억 건에서 3월 26억 건으로 소폭 줄었지만, 공격 방식은 더 다양해졌다.</p> <p contents-hash="951a7d08f7a36dc1153c30742a2760336ee5538254a4da18a8c02397f4e36e1a" dmcf-pid="8PCC5zKpjG" dmcf-ptype="general">전체 이메일 위협의 78%는 링크 기반 공격이었다. 악성 페이로드 비중은 1월 19%에서 2월과 3월 13% 수준으로 낮아졌다. 공격자들이 이용자 기기에서 직접 실행되는 악성 파일보다 가짜 로그인 페이지 등 호스팅 기반 자격 증명 탈취 인프라를 더 적극 활용하고 있다는 의미다.</p> <p contents-hash="587a7d58f5651a5f29440e2ec2f8de1ed63aeb97a8e9bfb7b4d5370d7ed73385" dmcf-pid="6Qhh1q9UNY" dmcf-ptype="general">서비스형 피싱(PhaaS) 플랫폼 '타이쿤2FA'에 대한 차단 효과도 확인됐다. 타이쿤2FA는 중간자(AiTM) 기법을 활용해 피싱 저항성이 없는 다요소 인증(MFA)을 우회하는 공격에 쓰인다. 마이크로소프트는 해당 조직을 '스톰-1747'로 추적하고 있다.</p> <figure class="figure_frm origin_fig" contents-hash="e6ebe31b2418d9cd402a7b8ceb77fc32bbbcc70c8f9931fffa5517704a06ba18" dmcf-pid="PxlltB2uAW" dmcf-ptype="figure"> <p class="link_figure"><img alt="(제작=챗GPT)" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202605/14/ZDNetKorea/20260514174404470zybj.png" data-org-width="639" dmcf-mid="2vffnEmjc5" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202605/14/ZDNetKorea/20260514174404470zybj.png" width="658"></p> <figcaption class="txt_caption default_figure"> (제작=챗GPT) </figcaption> </figure> <p contents-hash="9f5e4e20e77f19fcd69eb5ccc9eb706e5f5fe01d144e7dd4296ed9b451af1708" dmcf-pid="QMSSFbV7jy" dmcf-ptype="general">마이크로소프트 디지털 크라임 유닛은 지난 3월 초 유로폴 및 업계 파트너와 함께 타이쿤2FA 인프라 대응 조치를 시행했다. 이후 3월 말까지 관련 이메일 공격 규모는 약 15% 감소했다. 활성 피싱 페이지 접근도 크게 제한된 것으로 나타났다.</p> <p contents-hash="8aaf8b2809656a5eecacd3e0934b913763627914dc6454aa1aadd6e79fb9793d" dmcf-pid="xRvv3KfzAT" dmcf-ptype="general">공격자들은 차단 이후에도 대체 인프라 확보를 시도했다. 3월 말 이후 .RU 도메인 사용 비중은 41% 이상으로 늘었다. 기존 클라우드플레어 중심 호스팅 구조에서 벗어나 여러 플랫폼으로 분산하려는 움직임도 관측됐다.</p> <p contents-hash="cc4b620f6661c395a7e5b2ed8d35e8784cbfea8fdb4d2fc52f5a343ef4471d85" dmcf-pid="yYPPamCENv" dmcf-ptype="general">QR코드 피싱은 1분기 동안 146% 증가했다. 1월 760만 건이던 공격 건수는 3월 1870만 건으로 늘어 최근 1년 내 최대치를 기록했다. 공격자들은 이미지형 QR코드를 이메일에 삽입해 텍스트 기반 보안 스캔을 우회하고, 이용자를 관리되지 않는 모바일 기기로 유도했다.</p> <p contents-hash="e28394ada49d711fe416d592d134aff8403e015fe16251262e2107eb5a962dd6" dmcf-pid="WGQQNshDkS" dmcf-ptype="general">QR코드 전달 방식도 바뀌고 있다. QR코드 피싱에서 PDF 첨부파일 비중은 1월 65%에서 3월 70%로 높아졌다. 3월에는 이메일 본문에 QR코드를 직접 삽입하는 방식이 전월 대비 336% 증가했다. 첨부파일 없이도 공격을 시도하는 경로가 확대된 셈이다.</p> <p contents-hash="d01d7949fe72efce485285a233f67f83512b61b8ab7b29a9028d3f5fbeebc8b8" dmcf-pid="Yh99dADgol" dmcf-ptype="general">캡차 기반 피싱도 급증했다. 캡차는 정상 인증 절차처럼 보이도록 만들어 자동화 탐지를 회피하고, 이용자 행동을 유도하는 데 활용된다. 해당 기법을 활용한 피싱 공격은 1월과 2월 감소세를 보이다 3월 전월 대비 125% 늘어 약 1,190만 건을 기록했다.</p> <p contents-hash="f466384733c6bfca51d81ce12e6124931adda8ec7df24930ad50649ad6b9c5da" dmcf-pid="Gl22JcwaNh" dmcf-ptype="general">악성 페이로드 유형에서는 자격 증명 피싱이 압도적 비중을 차지했다. 자격 증명 피싱 비중은 1월 89%에서 2월 95%로 증가했고, 3월에도 94% 수준을 유지했다. 반면 전통적인 악성코드 배포 비중은 분기 말 기준 5~6% 수준으로 낮아졌다.</p> <p contents-hash="f4bf57043bf12ab8975527def7ebd36d7b14f3ad56bf47816bff79c3a99e125c" dmcf-pid="HSVVikrNoC" dmcf-ptype="general">비즈니스 이메일 침해(BEC) 공격은 1분기 1070만 건으로 집계됐다. 1월 24% 증가한 뒤 2월 8% 줄었고, 3월에는 다시 26% 늘었다. 초기 접촉 이메일의 82~84%는 관계 형성을 노린 대화형 메시지였다. 금융 거래나 문서를 직접 요구하는 유형은 9~10% 수준에 그쳤다.</p> <p contents-hash="4c349c5975199557504a4f9c29eb28e46d6a398979109773618e44c76f3e50ae" dmcf-pid="XvffnEmjjI" dmcf-ptype="general">공격자들은 초기 접촉 단계에서 금전 요구보다 신뢰 형성에 초점을 맞춘 것으로 분석됐다. 세부 유형별로는 급여 정보 변경 요청이 2월 15% 증가했다. 기프트카드 요청은 2월 감소한 뒤 3월 다시 늘었지만 전체 비중은 3% 미만에 그쳤다.</p> <p contents-hash="3836588eeb57a313808d1bbf583befd007bddc05581528271c8c0c904c1edcf6" dmcf-pid="ZT44LDsAkO" dmcf-ptype="general">이에 마이크로소프트는 이메일 위협 대응을 위해 디펜더 포 오피스 365와 익스체인지 온라인 프로텍션 권장 설정을 점검하라고 권고했다. 사용자 보안 교육, 모의훈련, 사후 격리·삭제, 접근·인증 보호, 단말·브라우저 보안 강화도 주요 대응 방안으로 제시했다.</p> <p contents-hash="7390443d0ace62eff474483730abb6048e46d88982fa11011f7e16e60096e1fa" dmcf-pid="5y88owOcgs" dmcf-ptype="general">마이크로소프트는 "이번 분석은 이메일 기반 공격이 어떻게 진화하고 있는지와 방어자가 어디에 탐지·완화·사용자 보호 전략을 집중해야 하는지 이해하는 데 도움이 될 것"이라고 밝혔다.</p> <p contents-hash="051cf6a91e3fcb3fe228999820f8ae845cd7e17c1994c78bebe82791523e40d9" dmcf-pid="1W66grIkNm" dmcf-ptype="general">장유미 기자(sweet@zdnet.co.kr)</p> </section> </div> <p class="" data-translation="true">Copyright © 지디넷코리아. 무단전재 및 재배포 금지.</p> 관련자료 이전 독일 딜리버리히어로는 왜 황금알 낳는 '배민‘ 내놨을까 05-14 다음 韓 게임업계 1분기 큰형들만 웃었다···中企 보릿고개 05-14 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
