3만 5천 명의 사용자. 마이크로소프트가 경고한 숫자다. 단 한 번의 피싱 캠페인으로 이 정도 규모라니, 상상만 해도 아찔하다. 작은 도시의 인구 전체가 잠재적으로 위험에 노출된 셈이다. 이건 그냥 몇 통의 수상한 이메일이 아니다. 디지털 신뢰에 대한 전면적인 공격이며, 지루하기 짝이 없는 기업 규정 준수를 가장하고 있다는 점이 섬뜩하다.
기계 속 유령: AI, 미끼에 사용되다
더욱 놀라운 것은 이 이메일들의 정교함이다. 아무렇게나 만든 게 아니라, 정말 공들여 만들었다. 기업용 HTML 템플릿, 체계적인 레이아웃, 심지어 사전 예방적 진위 확인 문구까지. 해커가 아니라 디지털 건축가 같달까. 믿을 수 없을 만큼 설득력 있는 외양을 쌓아 올리고 있다. 의심할 여지 없이 AI를 활용해 우리의 본능적인 문제 회피 및 규정 준수 욕구를 직접적으로 파고드는 서사를 만들고 있을 것이다. 제목만 봐도 예술이다. ‘내부 사건 기록, 품행 정책 하에 발행됨’. 심리적인 예술 작품이다. 우리의 복부에 ‘이런, 내가 뭘 잘못했지?’라고 속삭이는 불안감을 증폭시키도록 설계되었다.
2026년 4월 15일부터 16일까지 진행된 이 캠페인은 떴다 하면 사라지는 단발성 작전이 아니었다. 주로 미국 기업을 겨냥했지만, 26개국 조직까지 그 영향력이 뻗쳤다. 이것이 바로 오늘날 디지털 위협의 글로벌 파급력이다. 상호 연결된 취약성의 거미줄이라 할 만하다. 초연결 시대에 단 하나의 취약점이 얼마나 빠르고 광범위하게 연쇄적인 문제를 일으킬 수 있는지 보여주는 소름 끼치는 경고다.
클릭 그 너머: 교묘한 속임수
미끼는 놀랍도록 단순했다. “개인화된 첨부 파일을 열어” 사건 자료를 검토하라는 지시. 하지만 그 PDF 안에는 진정한 함정이 숨어 있었다. 바로 계정 정보 탈취 흐름을 시작시키는 링크였다. 마이크로소프트 연구진은 공격자들이 합법적으로 보이려고 얼마나 애썼는지 주목했다. 메시지가 승인된 내부 채널에서 왔고, 모든 링크와 첨부 파일은 안전하게 검토되었다고 주장했다. 심지어 Paubox에 의해 메시지가 암호화되었다는 초록색 배너까지 — HIPAA 규정 준수 통신에 사용되는 합법적인 서비스 — 신뢰도를 더욱 높였다. 우리가 의심을 잊고 그냥 클릭하도록 설계된, 치밀하게 구성된 환상이다.
하지만 공격자는 여기서 멈추지 않았다. 최초 클릭 후, 사용자는 종종 Cloudflare CAPTCHA를 거치게 되었다. 사용자가 “유효한 세션”에서 접속했는지 확인하는 검증 단계로 제시되었다. 이 교묘한 수법은 단순히 귀찮게 하려는 것이 아니었다. 자동화된 분석과 샌드박스 환경에 대한 정교한 방어책이었다. 그들은 적극적으로 우리의 눈을 가리려 했고, 악성 코드를 탐지하고 이해하기 어렵게 만들었다. CAPTCHA를 통과하면, 또 다른 단계의 페이지가 나타나 암호화를 주장하며 계정 인증을 요구했다. 이것은 다단계 속임수 로켓이다.
마이크로소프트의 분석은 장치 코드 피싱과 유사한 공격 체인을 지적했지만, 결정적으로 Adversary-in-the-Middle(AiTM) 세션 하이재킹이었다고 확인했다. 여기서부터 상황이 정말로 복잡해진다. 단순한 비밀번호 탈취를 넘어, 인증된 전체 세션을 납치하는 것이다. 사실상 우리의 디지털 신발에 발을 들여놓고, 합법적인 로그인을 이용해 접근하는 셈이다.
플랫폼의 변화: AI, 새로운 운영체제가 되다
이 사건, 이 대규모 피싱 캠페인은 내가 AI가 근본적인 플랫폼 전환이라고 말할 때 의미하는 바를 완벽하게 보여준다. 단순히 또 다른 도구가 아니다. 공격자들에게는 새로운 운영체제이고, 점점 더 많은 경우 선량한 사용자들에게도 마찬가지다. 마치 전기의 발명처럼 생각하면 된다. 전기 이전에는 모든 것이 수동적이고 느리고 제한적이었다. 그러다 펑! 모든 것이 바뀌었다. 갑자기 공장, 조명, 꿈에도 생각지 못한 속도의 통신이 가능해졌다. AI가 그런 종류의 변화다. 공격자들은 AI를 사용해 자동화하고, 개인화하고, 그 어느 때보다 정교한 미끼를 만들고 있다. 설득력 있는 이메일을 작성하고, 복잡한 다단계 공격을 설계하고, AI의 힘으로 전례 없는 기술로 탐지를 회피할 수 있다.
그리고 방어책은? 마이크로소프트의 권장 사항은 타당하다. Exchange Online Protection과 Defender for Office 365를 강화하고, 현실적인 훈련 시나리오를 실행하며(잘 훈련된 인간은 여전히 최고의 방화벽이기 때문), 결정적으로 암호 없는 인증과 MFA를 도입해야 한다. Microsoft Authenticator, Safe Links, Safe Attachments, 자동 공격 중단 — 이것들이 필요한 디지털 갑옷이다. 하지만 군비 경쟁은 이미 시작되었고, 속도는 점점 빨라지고 있다. 인간의 요소, 우리의 경계심, 우리의 비판적 사고는 여전히 중요하다. 보안을 기계에만 맡길 수는 없다. 우리는 능동적인 참여자가 되어야 한다.
공격자들은 메시지가 승인된 내부 채널에서 왔고 모든 링크와 첨부 파일이 안전하게 검토되었다고 주장하며 합법적으로 보이도록 설계했다.
이것이 문제의 핵심이다: 신뢰의 악용. 우리의 본능은 직장에서 공식적으로 보이는 통신을 신뢰하는 것이다. 이 공격자들은 AI 기반 정밀도로 깊이 뿌리내린 이러한 행동을 악용하고 있다. 너무 많은 사용자를 취약하게 만드는 디지털 손재주다. 사이버 보안의 미래는 단순히 기술적 방어에 관한 것이 아니다. AI가 가능하게 하는 심리적 조작을 이해하고 완화하는 것에 관한 것이다. 이것은 디지털 공간에서 우리의 관심과 신뢰를 건 싸움이다.
🧬 관련 인사이트
자주 묻는 질문
Microsoft Defender Research 팀은 무엇을 하나요? Microsoft Defender Research 팀은 정교한 피싱 캠페인, 멀웨어, 국가 지원 공격을 포함한 신흥 사이버 위협을 조사하고 분석하는 데 전념하고 있습니다. 이들은 사용자 및 조직 보호에 도움이 되는 중요한 정보와 권장 사항을 제공합니다.
AI 기반 피싱 공격으로부터 나를 어떻게 보호할 수 있나요? 긴급 조치를 요구하거나 계정 정보를 묻는 예상치 못한 이메일에 대해 매우 회의적이 되는 것으로 자신을 보호하십시오. 항상 발신자를 확인하고, 링크를 클릭하기 전에 꼼꼼히 살펴보고(마우스 커서를 올리는 것이 친구입니다!), 모든 계정에 다단계 인증(MFA)을 활성화하십시오. 정교한 피싱 전술 인식에 대한 직원 교육도 매우 중요합니다.
Microsoft의 Paubox 암호화 주장은 피싱 계획의 일부인가요? 아니요, Paubox 암호화 언급은 공격자들이 가짜 규정 준수 이메일에 신뢰성을 부여하기 위한 전술로 사용했습니다. Paubox는 안전한 HIPAA 준수 통신을 위한 합법적인 서비스이며, 위협 행위자들이 피싱 시도를 더 신뢰할 수 있게 보이게 하기 위해 해당 이름을 도용했을 가능성이 높습니다.
