마이크로소프트, 'Code of Conduct' 위장 다단계 피싱 캠페인 분석 공개… 2026년 4월 14~16일 35,000+ 사용자·13,000+ 조직·26개국 표적, AiTM으로 MFA 우회·인증 토큰 탈취
마이크로소프트 디펜더 리서치(Microsoft Defender Research)가 'code of conduct(행동강령) 검토'를 사칭한 대규모 자격증명 탈취 피싱 캠페인을 분석해 공개했다. 캠페인은 사회공학과 합법적 이메일 전송 인프라, 인증 절차 악용을 결합해 진화하는 보안 통제를 회피하도록 설계됐고, 최종 단계에서 어드버서리-인-더-미들(AiTM) 방식으로 인증 세션을 프록시해 인증 토큰을 실시간 탈취한다고 마이크로소프트는 설명했다. AiTM 공격은 인증 트래픽을 실시간으로 가로채기 때문에 피싱 저항형이 아닌 다중요소인증(MFA)을 우회할 수 있다.
관측 시점은 2026년 4월 14일부터 16일까지로, 마이크로소프트 디펜더 리서치 팀은 26개국 13,000+ 조직의 35,000명 이상 사용자를 노린 정교한 피싱 메시지를 다중 웨이브로 확인했다. 표적의 92%는 미국에 위치했고, 산업별로는 헬스케어·생명과학 19%, 금융서비스 18%, 전문서비스 11%, 기술·소프트웨어 11% 순으로 분포해 특정 업종에 국한되지 않았다. 발송은 4월 14일 06:51 UTC부터 4월 16일 03:54 UTC 사이에 여러 차례에 걸쳐 이뤄졌다.
이메일은 사내 규정·컴플라이언스 통신을 가장했다. 발신자 표시명은 'Internal Regulatory COC', 'Workforce Communications', 'Team Conduct Report' 등이었으며, 제목으로는 'Internal case log issued under conduct policy', 'Reminder: employer opened a non-compliance case log'가 사용됐다. 본문은 'code of conduct review'가 시작됐다고 알리며 조직 고유명을 본문에 끼워 넣고 '개인화된 첨부파일을 열어 사건 자료를 검토하라'고 지시했다. 메시지 상단에는 '권한 있는 내부 채널을 통해 발송'됐고 '링크와 첨부가 안전한 접근을 위해 검토·승인'됐다는 문구가, 하단에는 HIPAA 호환 통신 서비스로 알려진 Paubox로 암호화됐다는 녹색 배너가 함께 표시돼 정당성을 위장했다.
발송 인프라 분석 결과 합법적 이메일 전송 서비스가 사용됐고, 클라우드에 호스팅된 윈도우 가상머신에서 발송된 것으로 추정된다. 발신 주소는 공격자 통제로 추정되는 다수 도메인이 사용됐다. 각 메일에는 'Awareness Case Log File – Tuesday 14th, April 2026.pdf', 'Disciplinary Action – Employee Device Handling Case.pdf' 같은 파일명의 PDF가 첨부됐고, 첨부에는 사건 검토 절차 요약과 보조 문서 접근 안내가 담겼다. 수신자가 PDF 안의 'Review Case Materials' 링크를 클릭하면 자격증명 탈취 흐름이 시작됐다.
클릭 시 사용자는 'acceptable-use-policy-calendly[.]de' 또는 'compliance-protectionoutlook[.]de' 같은 공격자 통제 도메인의 랜딩 페이지로 먼저 이동했다. 해당 페이지는 '유효한 세션에서 접속했음을 검증한다'는 명목의 Cloudflare CAPTCHA를 표시해 자동 분석과 샌드박스 분석을 차단하는 게이팅 역할을 했다. CAPTCHA 통과 후에는 '요청한 문서가 암호화되어 있어 계정 인증이 필요하다'고 안내하는 중간 페이지로 다시 이동시켰다. 마이크로소프트는 이 단계에 디바이스 코드 피싱의 여러 특징이 보였으나 확인된 것은 AiTM 부분뿐이라고 밝혔다.
이어 'Review & Sign' 버튼을 누르면 이메일 주소 입력창이 나타났고, 제출 후에는 이미지 선택 방식의 두 번째 CAPTCHA를 추가로 요구했다. 두 단계가 끝나면 '검증이 성공했고 사건이 준비 중'이라는 메시지를 표시한 뒤 세 번째 사이트로 사용자를 이동시켰는데, 기반 코드 분석에 따르면 모바일과 데스크톱 접근 환경에 따라 최종 도착 페이지가 달라지도록 구성돼 있었다.
최종 페이지는 행동강령 검토 자료가 '안전하게 기록·시간 기록'됐고 '조직 중앙 컴플라이언스 추적 시스템 안에 보관'됐다고 안내한 뒤, 사건 논의를 위한 일정 예약을 위해 계정 로그인을 요구했다. 사용자가 'Sign in with Microsoft'를 선택하면 마이크로소프트 인증 페이지로 리다이렉션되며, 이때 AiTM 세션 하이재킹 흐름이 시작돼 인증 토큰이 탈취되고 계정이 즉시 손상될 수 있는 구조였다.
마이크로소프트는 대응으로 Exchange Online Protection과 Microsoft Defender for Office 365의 권장 설정 점검, 사용자 인식 교육과 피싱 시뮬레이션(팀즈 메시지 시뮬레이션 포함), 신규 위협 인텔리전스에 따라 이미 배달된 메일을 사후 격리하는 Zero-hour auto purge(ZAP) 활성화, 의심 URL·제목으로 메일을 수동 점검·삭제하고 Threat Explorer로 피싱 메일을 조사·삭제, Safe Links·Safe Attachments 활성화를 권고했다. 사용자에게는 SmartScreen을 지원하는 웹브라우저 사용을 권하고, 윈도우가 SmartScreen을 호스트 기반 웹 프록시로 활용할 수 있도록 네트워크 보호 활성화도 함께 권장했다.