2 days ago
2
이메일을 통한 보안 위협이 더 정교해지고 있다. 단순 악성파일을 보내는 방식을 넘어 링크로 피싱 사이트 접속을 유도하거나 QR코드, 캡차(CAPTCHA) 등을 활용해 탐지를 피하는 공격이 늘어난 것으로 나타났다. 기업 계정·로그인 정보를 빼내려는 자격 증명 탈취형 공격도 여전했다.
마이크로소프트 위협 인텔리전스가 14일 공개한 '2026년 1분기 이메일 위협 환경 분석 보고서'에 따르면 이 기간 탐지된 이메일 기반 피싱 공격은 약 83억건으로 조사됐다. 월별로 보면 지난 1월 29억건에서 3월 26억건으로 다소 줄었지만 공격 방식은 한층 복잡해졌다는 분석이다.
가장 큰 비중을 차지한 유형은 링크 기반 공격이었다. 전체 이메일 위협 중 78%가 링크 기반 공격으로 집계됐다. 악성 페이로드 비중은 지닌 1월 19%에서 2월과 3월 각각 13% 수준으로 안정화됐다. 이는 주로 자격 증명 탈취을 목적으로 이뤄졌다. 공격자들이 사용자 기기에서 직접 악성코드를 실행시키기보다는 외부에 구축한 피싱 인프라로 로그인 정보를 빼내는 방식을 더 선호하고 있다는 의미다.
서비스형 피싱(PhaaS) 플랫폼인 '타이쿤2FA' 대응 결과도 공개됐다. 타이쿤2FA는 중간자 기법으로 피싱 저항성이 없는 다요소 인증을 우회하는 공격을 수행한다. 마이크로소프트는 이 조직을 '스톰-1747'로 추적해왔다. 지난 3월 초 마이크로소프트 디지털 크라임 유닛은 유로폴·업계 파트너와 함께 관련 인프라에 대한 대응 조치를 시행했다.
이에 따라 같은 달 말 기준 관련 이메일 공격 규모는 약 15% 줄었다. 활성 피싱 페이지 접근성도 제한됐다. 다만 공격자들은 곧바로 우회로를 찾기 시작했다. 같은 달 말 이후 '.RU' 도메인 사용 비중이 41% 이상으로 늘었다. 기존 클라우드플레어 중심 호스팅 구조에서 여러 플랫폼으로 흩어지는 움직임도 포착됐다.
QR코드 피싱은 더 빠르게 확산했다. 1분기 동안에만 QR코드 피싱 공격이 146% 증가했다. 1월 760만건이던 공격 건수는 3월 1870만건으로 뛰었다. 최근 1년 내 최대치를 기록한 것. 이미지형 QR코드를 이메일에 넣어 기존 텍스트 기반 보안 스캔을 우회하고 사용자를 관리되지 않는 모바일 기기로 유도하는 방식이 주로 쓰였다.
전달 방식도 바뀌고 있다. QR코드 공격에서 PDF 첨부파일 비중은 1월 65%에서 3월 70%로 늘었다. 3월에는 이메일 본문에 QR코드를 직접 삽입하는 방식도 전월보다 336% 급증했다. 첨부파일 없이도 피싱 공격을 시도하는 통로가 넓어진 셈이다.
캡차를 악용한 공격도 다시 고개를 들었다. 정당한 인증 절차처럼 보이게 해 자동 탐지를 피하고 사용자의 행동을 유도하는 방식이다. 캡차 활용 피싱 공격은 1월과 2월 줄어들다 3월에 직전 달보다 125% 증가한 약 1190만건을 나타냈다. 이 또한 최근 1년 내 최고치다.
악성 페이로드 가운데선 자격 증명 피싱이 압도적이었다. 이 비중은 1월 89%에서 2월 95%로 증가한 뒤 3월 94% 수준을 유지했다. 이는 사용자를 피싱 페이지로 보내거나 위조 로그인 화면을 띄워 계정 정보를 입력하게 만드는 방식이다. 반면 전통적인 악성코드 배포는 분기 말 기준 5~6% 수준으로 낮아져 하락세를 이어갔다.
기업을 겨냥한 비즈니스 이메일 침해(BEC) 공격도 만만치 않았다. 1분기 BEC 공격은 총 1070만건으로 집계됐다. 1월 24% 늘다 2월 8% 줄었고 3월에 다시 26% 증가했다. 초기 접촉 이메일의 82~84%는 곧바로 돈이나 문서를 요구하기보다 관계 형성을 유도하는 대화형 메시지였다. 공격자들이 먼저 신뢰를 쌓은 다음 금전 요구로 넘어가는 방식을 택하고 있다는 뜻이다.
마이크로소프트는 이메일 위협 대응을 위해 보안 설정 점검과 모니터링, 사용자 교육과 모의훈련, 사후 격리·삭제 체계 강화가 필요하다고 권고했다. 링크와 첨부파일 보호, 네트워크·브라우저 기반 차단, 패스워드리스 인증, 조건부 접근 정책, 진행 중인 공격 자동 차단도 주요 대응책으로 제시했다.
이메일 공격은 더 이상 수상한 첨부파일 하나만 조심한다고 막을 수 있는 단계가 아니라는 설명이다. 공격자들은 링크, QR코드, 캡차, 대화형 이메일을 결합해 보안망과 사용자가 방심한 틈을 동시에 파고들고 있다.
마이크로소프트는 △보안 설정 점검·모니터링 △사용자 인식 교육·모의훈련 △사후 격리·삭제 등 대응 체계 강화 △접근·인증 및 단말·브라우저 보호 강화 등을 권고했다. 또 링크·첨부파일 보호, 네트워크·브라우저 기반 차단, 패스워드리스 인증과 조건부 접근 정책, 진행 중 공격 자동 차단 등을 주문했다.
김대영 한경닷컴 기자 kdy@hankyung.com
![[AI브리핑] "토큰도 아껴야 산다"…기업 AI 비용 관리 4계명](https://image.inews24.com/v1/13498897eac98d.jpg)
!["유튜브로만 봤는데"…'핫플' 성수동에 MZ들 몰려든 까닭 [현장+]](https://img.hankyung.com/photo/202605/01.44292291.1.jpg)
![재미로 만들더니 '조회수 100만'…SNS 뒤집은 영상의 비밀 [인터뷰+]](https://img.hankyung.com/photo/202605/01.44294186.1.jpg)
!["노키아처럼 망한다"던 애플, AI 강자로 급부상하는 이유는 [김인엽의 AI 프런티어]](https://img.hankyung.com/photo/202605/01.44168446.1.jpg)
![[천자칼럼] 인간 이긴 로봇 마라토너](https://static.hankyung.com/img/logo/logo-news-sns.png?v=20201130){kind=logo}
English (US) · 