Threat Intelligence

SaaS 노린 사이버 범죄: 보이스피싱, SSO 악용으로 공격 가속화

사이버 범죄가 SaaS 생태계 내에서 점점 더 빠르고, 표적화되며, 놀라울 정도로 효율적으로 진화하고 있습니다. 연구원들은 두 개의 독립적인 그룹이 전례 없는 속도로 데이터를 유출하기 위해 보이스피싱과 단일 로그인(SSO) 악용을 사용하고 있음을 밝혀냈습니다.

Threat Digest 5 min read
Read in: English 日本語 한국어 Русский Türkçe
{# Always render the hero — falls back to the theme OG image when article.image_url is empty (e.g. after the audit's repair_hero_images cleared a blocked Unsplash hot-link). Without this fallback, evergreens with cleared image_url render no hero at all → the JSON-LD ImageObject loses its visual counterpart and LCP attrs go missing. #}
데이터 흐름을 추상적으로 시각화한 이미지로, 복잡한 SaaS 환경을 나타내는 빛나는 노드와 연결이 사이버 위협 아래 놓여 있습니다.

Key Takeaways

  • Cordial Spider와 Snarky Spider라는 두 개의 사이버 범죄 그룹이 SaaS 환경 내에서 신속하고 영향력 있는 공격을 감행하고 있습니다.
  • 주요 전술은 보이스피싱을 통해 사용자를 속여 악성 SSO 관련 피싱 페이지를 방문하게 하는 것입니다.
  • 침해된 SSO 자격 증명은 공격자가 ID 공급자(IdP)를 통해 전체 SaaS 생태계에 접근할 수 있게 합니다.
  • 공격자는 빠르게 움직이며, 종종 한 시간 이내에 데이터를 유출하고 탐지 경보를 억제합니다.
  • 전통적인 보안 조치는 이러한 은밀하고 속도 중심적인 침입에 불충분할 수 있습니다.

과거의 느릿하고 지루했던 랜섬웨어 공격은 이제 잊으십시오. 위협 환경이 빠르게 변화하고 있습니다. Cordial Spider와 Snarky Spider로 명명된 두 개의 서로 다른 사이버 범죄 집단이 주로 소프트웨어 서비스(SaaS) 환경 내에서 신속한 데이터 탈취 및 몸값 요구 캠페인을 벌이고 있습니다. 이들의 작전 방식은 간결하며 흔적은 희미하게 남아, 기존의 침입 방식에 익숙한 방어자들에게는 까다로운 과제를 안겨주고 있습니다. 두 그룹 모두 2025년 10월부터 활동해 왔으며, 영어 원어민으로 추정되는 Snarky Spider는 악명 높은 온라인 범죄 집단 The Com과 연관이 있는 것으로 파악됩니다.

이들의 핵심 방법론은 충격적일 정도로 효과적입니다. 바로 음성 피싱(보이스피싱)과 단일 로그인(SSO) 악용의 강력한 조합입니다. 공격자는 IT 지원팀을 사칭하며 전화로 대상 사용자에게 접근해 악성 SSO 관련 중간자 공격(AiTM) 페이지를 방문하도록 유도합니다. 바로 이 디지털 연옥에서 인증 데이터가 유출되어 SSO에 통합된 SaaS 애플리케이션에 직접 접근할 수 있게 됩니다. 결과는요? 공격자는 기존의 경계 방어선을 우회하고 피해자 네트워크로 곧바로 침투합니다. CrowdStrike의 Counter Adversary Operations 팀이 명확하게 지적했듯, “신뢰할 수 있는 SaaS 환경 내에서만 거의 독점적으로 운영함으로써, 발자국을 최소화하는 동시에 영향력 발휘 시간을 가속화합니다.”

이는 단순한 점진적 변화가 아니라 공격 경로의 상당한 진화를 의미합니다. Mandiant의 2026년 1월 보고서는 이러한 공격 그룹들이 몸값 요구 중심의 공격으로 유명한 ShinyHunters 그룹의 전술과 유사한 확장세를 보인다고 강조했습니다. IT 직원을 사칭하는 것은 고전적인 사회 공학 기법이지만, 실행 속도와 기술적 정교함으로 인해 한 단계 격상되었습니다. 피해자는 단순히 속아 넘어가는 것이 아니라, 공격자들은 적극적으로 피싱 로그인 페이지로 유도하여 자격 증명과 더불어 중요한 다단계 인증(MFA) 코드까지 수집합니다.

SaaS 환경에 왜 중요할까요?

SaaS 애플리케이션에 크게 의존하는 조직에게 이 공격이 미치는 영향은 지대합니다. 이러한 공격은 기존 보안 계층을 정면으로 맞서기보다는 우회하도록 설계되었습니다. 클라우드 기반 서비스 내의 본질적인 신뢰 메커니즘을 악용하여 합법적인 사용자 접근을 침해의 관문으로 전환시킵니다. 특히 속도가 경악스러울 정도입니다. 보고서에 따르면 Snarky Spider는 초기 침해 후 한 시간 이내에 데이터 유출을 시작할 수 있다고 합니다. 이처럼 빠른 실행 창은 보안 팀에게 탐지뿐 아니라 복구를 위한 귀중한 시간을 거의 남기지 않습니다.

연구원들은 Cordial Spider와 관련된 CL-CRI-1116을 2026년 2월부터 소매 및 숙박업 부문과 연결 짓고 있습니다. 이들의 침입은 ‘살아있는 땅에서 활용하는’(Living-off-the-Land, LotL) 기법에 크게 의존하는데, 이는 이미 침해된 기계에 존재하는 합법적인 시스템 도구를 사용하여 탐지를 회피하는 방식입니다. 추가적인 은폐 계층으로, 이들은 주거용 프록시를 자주 사용합니다. 이 전략은 실제 지리적 출처를 숨기는 데 도움이 되며 IP 평판 기반 차단과 같은 기본적인 메커니즘을 우회할 수 있게 합니다.

초기 자격 증명 탈취 이후에는 권한 상승 및 데이터 유출의 명수다운 과정을 보여줍니다. 공격자는 단순히 접근 권한을 얻는 것이 아니라, 이를 유지하고 경보를 억누르기 위해 적극적으로 노력합니다. 일반적인 전술에는 새 장치를 등록하여 MFA를 우회하는 것이 포함되지만, 결정적으로 사전 등록된 모든 장치를 먼저 제거합니다. 이어서 자동화된 이메일 알림을 자동으로 삭제하도록 받은 편지함 규칙을 구성하여 무단 장치 등록과 관련된 알림을 막습니다. 침묵이 이들의 동맹입니다.

다음 단계에서 진정한 가치 추출이 시작됩니다. 스크랩한 내부 직원 디렉토리를 사용하여, 더 높은 권한을 가진 계정을 표적으로 삼아 추가적인 사회 공학에 나섭니다. 일단 권한이 강화되면, 공격자는 Google Workspace, HubSpot, Microsoft SharePoint, Salesforce와 같은 SaaS 환경을 탐색하며 고부가가치 파일과 비즈니스에 중요한 보고서를 꼼꼼하게 검색합니다. 그런 다음 관심 데이터를 자체 통제 인프라로 유출합니다.

“관찰된 대부분의 사례에서 이러한 자격 증명은 조직의 ID 공급자(IdP)에 대한 액세스 권한을 부여하며, 여러 SaaS 애플리케이션에 대한 단일 진입점을 제공합니다. ID 공급자와 연결된 서비스 간의 신뢰 관계를 악용함으로써, 공격자는 개별 SaaS 앱을 침해할 필요 없이 단일 인증 세션으로 피해자의 전체 SaaS 생태계 전체를 가로질러 이동합니다.”

CrowdStrike의 이 인용문은 문제의 핵심을 짚고 있습니다. 공격자는 단순히 개별 애플리케이션을 침해하는 것이 아니라, 왕국의 열쇠, 즉 ID 공급자(IdP) 자체를 침해하는 것입니다. 이 단일 침해 지점은 전체 SaaS 생태계를 넘나들며 이를 단일하고 상호 연결된 개체로 취급할 수 있게 합니다. 이는 클라우드 보안의 강점이 개별 애플리케이션을 안전하게 보호하는 것뿐만 아니라 중앙 ID 관리의 무결성에 달려 있음을 엄중히 상기시킵니다.

여기서 시장 역학 관계는 분명합니다. 조직이 효율성을 위해 SaaS를 점점 더 많이 채택함에 따라 공격 표면이 확장되고 이동합니다. 공격자는 데이터를 따라가고 있으며, 데이터는 점점 더 이러한 클라우드 기반 플랫폼에 저장되고 있습니다. 보이스피싱의 정교함과 SSO의 광범위한 사용이 결합되어 이러한 위협 행위자들이 전문적으로 악용하는 취약점을 만들어냅니다. 이는 사이버 보안 방어에도 유사한 민첩성과 선견지명을 요구하는 고속, 저발자국 접근 방식입니다.

기존 방어만으로 충분할까요?

솔직히 말해서, 충분하지 않습니다. 서명 기반 탐지 또는 많은 행동 이상 징후 시스템에 대한 의존은 신뢰할 수 있는 애플리케이션 경계 내에서 합법적인 도구와 자격 증명을 사용하는 공격자에 대해 어려움을 겪을 가능성이 높습니다. 초점은 강력한 ID 및 액세스 관리(IAM), SaaS 애플리케이션 내 사용자 및 개체 행동에 대한 지속적인 모니터링, 그리고 특히 보이스피싱 전술을 다루는 강화된 피싱 인식 교육으로 전환되어야 합니다. 조직은 침해를 가정하고 복원력을 구축해야 합니다.

보이스피싱과 SSO 악용의 통합은 SaaS를 표적으로 하는 사이버 범죄 그룹에게 중요한 전술적 도약을 나타냅니다. 이는 단순히 자격 증명을 훔치는 것을 넘어, 신뢰와 속도를 무기화하는 것입니다. 데이터는 명확하고 현존하는 위험을 뒷받침하며, 전 세계 보안 리더와 IT 부서의 즉각적인 주의를 요구합니다.

핵심 시사점

  • Cordial Spider와 Snarky Spider라는 두 개의 사이버 범죄 그룹이 SaaS 환경 내에서 신속하고 영향력 있는 공격을 감행하고 있습니다.
  • 주요 전술은 보이스피싱을 통해 사용자를 속여 악성 SSO 관련 피싱 페이지를 방문하게 하는 것입니다.
  • 침해된 SSO 자격 증명은 공격자가 ID 공급자(IdP)를 통해 전체 SaaS 생태계에 접근할 수 있게 합니다.
  • 공격자는 빠르게 움직이며, 종종 한 시간 이내에 데이터를 유출하고 탐지 경보를 억제합니다.
  • 전통적인 보안 조치는 이러한 은밀하고 속도 중심적인 침입에 불충분할 수 있습니다.

🧬 관련 인사이트

자주 묻는 질문

보이스피싱 공격이란 무엇인가요? Vishing, 즉 음성 피싱은 범죄자가 전화 통화를 사용하여 피해자에게 금융 정보나 로그인 자격 증명과 같은 민감한 정보를 밝히도록 속이거나 공격자에게 이익이 되는 조치를 취하도록 설득하는 일종의 사회 공학 공격입니다.

사이버 범죄자는 SSO를 어떻게 악용하나요? 사이버 범죄자는 주로 피싱이나 보이스피싱을 통해 유효한 사용자 자격 증명을 먼저 획득한 후 SSO를 악용합니다. 이러한 자격 증명을 확보하면 SSO 포털에 접근할 수 있으며, 이를 통해 해당 SSO로 인증하는 모든 연결된 SaaS 애플리케이션에 접근할 수 있으며, 종종 각 애플리케이션을 개별적으로 침해할 필요 없이 말입니다.

‘살아있는 땅에서 활용하는’(LotL) 기법이란 무엇인가요? ‘살아있는 땅에서 활용하는’(Living-off-the-land, LotL)은 위협 행위자가 대상 시스템에 이미 존재하는 합법적이고 사전 설치된 도구 및 애플리케이션을 사용하여 악의적인 활동을 수행하는 사이버 공격의 한 유형을 말합니다. 이는 보안 소프트웨어가 일반적으로 악성 실행 파일을 감시하는 것을 회피하면서, 이들의 행동을 정상적인 시스템 작동과 구별하기 어렵게 만듭니다.

Written by
Threat Digest Editorial Team

Curated insights, explainers, and analysis from the editorial team.

#sso-abuse #saas-security #cybercrime #data-extortion #identity-provider #vishing
More in Threat Intelligence →

Worth sharing?

Get the best Cybersecurity stories of the week in your inbox — no noise, no spam.

Originally reported by The Hacker News

Related Stories