최근 사이버 보안 연구원들은 새로운 QR코드 피싱(일명 '퀴싱') 공격이 마이크로소프트 Sway의 클라우드 인프라를 악용해 마이크로소프트 365 자격 증명을 탈취하는 사례를 발견했다고 밝혔다. 이번 공격은 7월 이후로 활동이 급격히 증가했으며, 기술, 제조, 금융 부문의 사용자들을 주요 타깃으로 삼고 있다.

공격자들은 마이크로소프트 Sway라는 합법적인 플랫폼을 이용해 악성 페이지를 호스팅하고 있다. Sway는 온라인 프레젠테이션, 뉴스레터 등을 만들기 위한 도구로, 마이크로소프트 365에 속한 서비스다. 공격자들은 sway.cloud.microsoft 도메인을 사용해 피싱 페이지를 호스팅하고, 사용자들이 QR코드를 스캔하도록 유도해 가짜 로그인 사이트로 리디렉션시켜 자격 증명을 탈취하고 있다.

특히 이번 공격에서 주목할 점은 '공격자 중간자(AiTM)' 기법을 활용했다는 것이다. 사용자가 QR코드를 스캔하고 자격 증명을 입력하면, 공격자들은 이 정보를 실시간으로 탈취하며, 동시에 사용자에게 정상적인 로그인 페이지를 보여줘 사용자가 의심하지 못하게 한다.

■ 모바일 기기가 특히 취약한 이유

이번 공격은 사용자가 모바일 기기로 QR코드를 스캔하는 습관을 악용하고 있다. 데스크탑이나 노트북에 비해 모바일 기기는 보안 조치가 덜 엄격한 경우가 많아, 이러한 공격에 더 쉽게 노출된다. 또한, 피싱 URL이 QR코드 내에 삽입되어 있어, 일반적인 이메일 스캐너는 이를 탐지하기 어렵다. 이로 인해 많은 피싱 이메일이 사용자의 메일함에 경고 없이 도달하게 된다.

이번 피싱 캠페인 중 일부는 클라우드플레어 턴스타일(Cloudflare Turnstile)이라는 도구를 활용해 악성 콘텐츠를 정적 URL 스캐너로부터 숨기고 있다. 이를 통해 피싱 도메인이 블랙리스트에 등록되는 것을 피하고, 악성 페이지가 오래 살아남도록 만든다.

■ 점점 더 정교해지는 피싱 기법

마이크로소프트 Sway가 피싱에 악용된 것은 이번이 처음이 아니다. 2020년에도 비슷한 캠페인인 'PerSwaysion'이 발견된 바 있으며, 이는 주로 고위 임원들을 대상으로 오피스 365 자격 증명을 탈취하는 데 성공했다. 이번 캠페인은 그 규모와 정교함에서 더욱 발전된 모습을 보이고 있다.

특히, 이번 공격에서는 전통적인 이미지 기반 QR코드 외에도, 유니코드 문자로 생성된 QR코드를 사용하는 새로운 기법이 등장했다. 이러한 텍스트 기반 QR코드는 기존의 보안 체계를 우회하며 탐지가 매우 어려워, 방어자들에게 새로운 도전 과제를 안겨주고 있다.

보안 전문가들은 이번 공격에 대한 대응책으로 몇 가지 조치를 권고하고 있다. 사용자들은 이메일로 받은 QR코드를 스캔하기 전에 반드시 출처를 확인해야 하며, 모바일 기기에 대한 보안 조치를 강화해야 한다. 조직 내에서는 직원들에게 QR코드 피싱의 위험성을 교육하고, 스캔 전에 반드시 출처를 확인하도록 해야 한다고 강조했다.

[PASCON 2024] 하반기 최대 사이버보안 컨퍼런스 초대!(보안담당자 7시간 보안교육이수)

▶주최: 데일리시큐

▶후원: 개인정보보호위원회, 한국정보보호산업협회

▶대상: 정부·공공·공기업·정부산하기관·금융·의료·교육·일반기업 개인정보보호 및 정보보안 담당자 1,000여명 (단, 현업 보안실무자 이외 프리랜서, 학생, 일반인 등은 보안과 관련 없는 자는 참석 금지)

▶일시: 2024년 9월 10일 화요일 오전 9시~오후 5시

▶장소: 더케이호텔서울 2층 가야금홀+거문고홀A 및 로비

▶인원: 개인정보보호 및 정보보안 실무자 1,000여 명

▶전시회: 국내외 최신 보안솔루션 전시회(30여개 기업 참여)

▶참가비: 무료/1일 주차권 지급/점심식사는 제공하지 않습니다.

▶보안교육: 사전등록+현장참석+설문제출자에 한해 7시간 교육이수증 발급

▶사전등록: 9월 8일 오후 5시 마감

▶사전등록링크: 클릭

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★