AI 인사이트
목록으로
정책2026년 5월 1일 AM 04:06

마이크로소프트 'Q1 2026 이메일 위협 83억 건'… QR 피싱 760만→1,870만(146%↑)·Tycoon2FA 단속 후 .RU TLD 41%+ 재이동

<p>마이크로소프트 위협 인텔리전스(Microsoft Threat Intelligence)는 2026년 1분기(1~3월) 동안 약 83억 건의 이메일 기반 피싱 위협을 탐지했다고 밝혔다. 월간 볼륨은 1월 29억 건에서 3월 26억 건으로 소폭 감소했지만, QR 코드 피싱이 가장 빠르게 성장한 공격 벡터로 부상해 분기 동안 두 배 이상으로 늘었고, CAPTCHA 게이트 피싱도 페이로드 유형 전반에서 빠르게 진화했다.</p>

<p>전체 이메일 위협의 78%가 링크 기반이었다. 악성 페이로드 비중은 대규모 HTML·ZIP 캠페인의 영향으로 1월에는 19%까지 올랐다가 2월과 3월에는 모두 13%로 안정화됐다. 분기 내내 악성 페이로드의 주된 목적은 자격 증명 피싱(credential phishing)이었으며, MS는 이러한 링크 기반 전달 비중 증가가 위협 행위자들이 로컬 렌더링 페이로드보다 호스팅 자격 증명 피싱 인프라를 점차 더 선호하게 됐음을 시사한다고 분석했다.</p>

<p>대표적 PhaaS(phishing-as-a-service) 플랫폼인 Tycoon2FA(MS가 Storm-1747로 추적)는 2023년 8월 등장 이후 AiTM(adversary-in-the-middle) 기법으로 비(非)피싱저항 다중인증(MFA)을 우회해 가장 광범위한 PhaaS 중 하나로 자리 잡았다. 1분기는 활동 둔화로 출발했다. 1월 볼륨은 2025년 12월 대비 54% 감소했다.</p>

<p>2월 44% 반등했던 Tycoon2FA 피싱은 3월 들어 15% 감소했다. 마이크로소프트 디지털 크라임 유닛(Digital Crimes Unit)이 유로폴(Europol) 및 산업 파트너와 공조해 단행한 인프라 단속이 결정적 영향을 미쳤다. 단속 이후에도 메시지 자체는 계속 유포됐지만, 3월 전체 볼륨의 거의 3분의 1이 월초 3일간에 집중됐고 이후 일일 볼륨은 평년 평균을 크게 밑돌았다. 활성 피싱 페이지 접근성 또한 큰 폭으로 떨어졌다.</p>

<p>Tycoon2FA의 인프라 구성도 분기 내내 여러 차례 바뀌었다. 1월에는 .SA.COM·.RU·.ES 같은 기존 도메인에서 .DIGITAL·.BUSINESS·.CONTRACTORS·.CEO·.COMPANY 등 신규 일반 최상위 도메인(gTLD)으로 이동했고 2월에 이 추세가 굳어졌다. 그러나 3월 단속 이후에는 다시 .RU TLD 등록이 늘어, 3월 마지막 주 시점 Tycoon2FA 도메인의 41% 이상이 .RU를 사용하고 있다고 MS는 밝혔다. 호스팅 측면에서도 Cloudflare를 떠나 비교 가능한 분석 방해 보호 기능을 제공하는 다양한 대체 플랫폼으로 흩어지는 움직임이 관측됐다.</p>

<p>1분기의 가장 두드러진 변화는 QR 코드 피싱의 급증이었다. 공격 볼륨은 1월 760만 건에서 3월 1,870만 건으로 분기 동안 146% 늘었다. 1월에는 2025년 말 하락 추세를 이어 35% 감소했지만, 2월 59%, 3월 55%씩 급반등하며 분기 말에는 최소 최근 1년 중 최고 월간치를 기록했다.</p>

<p>QR 코드 피싱의 주된 전달 수단은 PDF 첨부였다. 점유율은 1월 65%에서 3월 70%로 상승했다. DOC·DOCX 페이로드는 절대 볼륨은 매월 늘었지만 점유율은 31%에서 24%로 떨어졌다. 분기 말에는 첨부 없이 이메일 본문에 직접 삽입된 QR 코드가 3월 한 달에만 336% 급증했다. 전체 QR 피싱에서 차지하는 비중은 5%로 아직 작지만, 첨부 자체를 우회하는 새로운 전달 방식의 시작점으로 MS는 평가했다.</p>

<p>비즈니스 이메일 침해(BEC) 활동은 분기 동안 약 1,070만 건으로 여전히 활발했고 대부분 노력 비중이 적은 일반 메시지였다. 마이크로소프트 디펜더 리서치는 EvilTokens 등을 활용한 기기 코드 피싱(device code phishing) 같은 신규 기법의 초기 징후도 포착했다. CAPTCHA 게이트 피싱은 1월 -45%, 2월 -8% 감소 후 3월에 폭증했고, 가짜 CAPTCHA는 ClickFix 공격에서 사용자가 악성 명령을 복사·실행하도록 유도하는 데도 활용된다. Tycoon2FA 고객들이 악성 캠페인 배포에 이용하던 RedVDS 서비스 역시 마이크로소프트 디지털 크라임 유닛의 단속 대상이 됐다.</p>

AI인사이트 편집팀

이 기사는 AI 기술을 활용해 작성되었으며, 편집팀이 검수했습니다.

관련 기사

정책5월 1일

머스크, 캘리포니아 연방법정서 'xAI가 OpenAI 모델 증류(distillation)로 Grok 학습' Partly 시인… '다른 AI로 자기 AI 검증은 표준 관행'

정책5월 1일

BioticsAI 창업자 'FDA 승인·자금조달의 현실'… AI 초음파 코파일럿 1월 FDA 승인 후 병원 배포 단계, 시제품 10만 달러 미만·2023 TC Startup Battlefield 우승

정책5월 1일

Meta 자회사 Manus, '10분에 월 5,000달러' AI 사이드허슬 광고 운영… 미공개 크리에이터 네트워크로 TikTok·인스타그램 침투, 中 규제로 인수 되감기 위기