금융 서비스 주도 공격, 비밀번호는 훔치지 않고 MFA를 재설정해 토큰을 탈취한다.
발행: (2026년 5월 27일 AM 04:34 GMT+9)
10 분 소요
원문: VentureBeat
출처: VentureBeat
금융 서비스 위협 환경 – 2026
지난 12개월 동안 가장 많은 금융 서비스 조직을 공격한 해커는 비밀번호 피싱을 한 번도 하지 않았습니다. IT 지원 라인에 전화를 걸어 직원에게 MFA를 재설정하도록 설득하고, 자신의 장치를 네트워크에 등록했습니다.
1. 핵심 발견
| 출처 | 기간 | 주요 위협 | 주요 기법 |
|---|---|---|---|
| CrowdStrike 2026 금융 서비스 위협 환경 보고서 | 2025 년 4 월 – 2026 년 3 월 | Mutant Spider (또는 REVENANT SPIDER) | Microsoft Teams를 통한 보이스 피싱(vishing) → IT‑지원 사칭 → MFA 재설정 → 장치 등록 |
| FBI 공공 서비스 발표 | 2026 년 5 월 | Kali365 (피싱‑as‑a‑service) | Microsoft 365 디바이스‑코드 흐름을 이용한 OAuth 토큰 탈취; MFA는 피해자 장치에서 작동, 공격자에게는 작동하지 않음 |
| Verizon 2026 데이터 유출 조사 보고서 | 2025 년 데이터 | 전체 산업 추세 | 자격 증명 도난 ↓ 13 % (초기 접근 벡터) ; 취약점 악용 ↑ 31 % (최다 벡터) |
“헬프 데스크에 전화해서 ‘비밀번호를 잊어버렸어요’라고 말하면 제로‑데이가 뭐가 필요하겠어요?” – Adam Meyers, SVP, Counter‑Adversary Operations, CrowdStrike
2. 위협 행위자 스포트라이트
2.1 Mutant Spider (aka REVENANT SPIDER)
- 주요 경로: Microsoft Teams에서의 보이스 피싱(vishing).
- 전술:
- 내부 IT 지원 사칭.
- 직원에게 자격 증명 및 MFA 재설정을 설득.
- 공격자가 제어하는 장치를 기업 네트워크에 등록.
- 맞춤형 사후 접근 도구 배포 (예: PrionFlaire, SocksLoader, SleepyMutagen).
- 랜섬웨어 운영자에게 접근 권한을 판매; 이후 랜섬 노트가 전달됨.
2.2 Kali365 (FBI PSA)
- 배포: 텔레그램에서 월 $250부터 판매.
- 메커니즘: 정식 디바이스‑코드 인증 흐름을 이용해 Microsoft 365 OAuth 토큰을 탈취.
- 영향:
- MFA 챌린지는 피해자 장치에 표시되고, 공격자 장치에는 표시되지 않음.
- 토큰을 통해 Outlook, Teams, OneDrive에 지속적인 접근이 가능하며 추가 MFA 요청이 발생하지 않음.
2.3 Scattered Spider
- 타임라인: 2025 년 4 월 – 7 월 사이 보험사에 대한 공격적 랜섬웨어 작전, 2024 년 12 월에 일시 중단 후 재개.
- 플레이북 (2022 년부터):
- 헬프데스크 사회공학.
- 자격 증명 및 MFA‑재설정 요청.
- 통합 SaaS 애플리케이션을 통한 측면 이동, 데이터 탈취 후 몸값 요구.
- 법적 조치:
- 2025 년 9 월 – 영국 국가범죄청(NCA)이 두 명을 체포(런던 교통국 대상).
- 미국 법무부가 한 명을 기소, 미국 핵심 인프라 공격 혐의.
3. 산업 전반 통계
3.1 Verizon 2026 DBIR
- 자격 증명 도난 – 침해 초기 접근 벡터의 13 % (전년 대비 감소).
- 취약점 악용 – 31 % (현재 최다 벡터).
3.2 CrowdStrike 2026 보고서
- 금융 서비스 부문, 2026 년 1분기 기준 4위 가장 많이 표적이 된 산업.
- 적대적 활동 비중: 전체 관찰 활동의 12 %.
- 키보드 직접 침입:
- 2025 년 전 세계적으로 43 % 증가(2023 년 대비).
- 북미 지역: 48 % 증가.
- 사이버 범죄 압력:
- 유출 사이트에 등재된 금융 서비스 기관 423곳 (전년 대비 27 % 증가).
- REVENANT SPIDER 피해자 수가 14명에서 97명으로 급증.
- 침입 출처 비율:
- 사이버 범죄 행위자: 키보드 직접 침입의 75 %.
- 국가 지원 행위자: 25 % (2023 년 이후 변동 없음).
4. MFA 우회 노출 감사 그리드
아래 그리드는 다섯 개 확인된 공격 표면(CrowdStrike, FBI, Verizon)을 MFA가 놓치는 부분과 “월요일 아침”에 적용할 구체적 해결책으로 매핑합니다.
| 공격 표면 | MFA가 놓치는 점 | 권장 해결책 |
|---|---|---|
| 보이스 피싱 (Mutant Spider) | 사회공학 후 MFA 재설정이 원래 인증 절차를 우회함. | MFA 재설정 요청에 특권 접근 관리(PAM) 적용; 이중 승인 및 채널 외 검증을 요구. |
| OAuth 토큰 탈취 (Kali365) | MFA가 피해자 장치에서만 만족되고, 공격자는 탈취된 토큰을 재사용함. | 연속 토큰 사용 모니터링 배치; 단기 토큰 및 조건부 접근 정책으로 비정상적인 장치 위치를 감지. |
| 전통적 자격 증명 도난 | MFA는 초기 로그인만 보호; 세션 하이재킹 시 지속 가능. | 세션 바인딩 및 고위험 행동에 대한 재인증 구현; 행동 분석으로 이상 활동 탐지. |
| 취약점 악용 | 취약 소프트웨어를 통한 침투 시 MFA는 무관함. | 패치 관리와 제로 트러스트 네트워크 세분화 채택; SaaS 워크로드에 마이크로 세분화 적용. |
| 국가 지원 신원 침해 | 특권 계정에 대한 표적 공격이 MFA를 우회함. | 신원 중심 제로 트러스트 구현: 지속 위험 점수화, 적응형 MFA, 특권 사용자에 하드웨어 보안 키 적용. |
(전체 상세 매트릭스는 원본 보고서에 포함되어 있습니다.)
5. 국가 지원 활동
- DPRK‑nexus: 디지털 자산 20억 200만 달러 탈취 (전년 대비 51 % 증가).
- 2025 년 2 월: Pressure Chollima가 Bybit의 **Safe{Wallet}**을 트로이 목마가 포함된 파이썬 프로젝트로 침투해 14억 6000만 달러 탈취.
- China‑nexus:
- Hollow Panda – 체크포인트 VPN 어플라이언스 악용(필리핀, 인도네시아, 브라질).
- Vault Panda – 4대륙에 걸친 VPN 및 방화벽 어플라이언스 침투.
- 공통점: 첫 번째 움직임은 언제나 신원, 자격 증명 또는 신뢰된 접근 경로를 목표로 함.
“전통적인 접근 방식은 이런 행동 양식에 맞게 설계되지 않았어요.” – Elia Zaitsev, CTO, CrowdStrike
6. 핵심 정리
- MFA만으로는 더 이상 충분하지 않음; 공격자는 사회공학, 토큰 탈취, 자격 증명 재설정을 통해 MFA를 우회하고 있습니다.
- 방어자는 계층화된 신원 중심 전략을 채택해야 함: 특권 접근 제어, 연속 토큰 모니터링, 적응형 MFA, 신속한 패치 적용.
- 즉시 실행 가능한 조치(‘월요일 아침 고정’)는 다음과 같습니다:
- 모든 MFA 재설정에 이중 승인 적용.
- OAuth 토큰 수명을 단축하고 비정상 사용을 모니터링.
- 로그인 후 행동 분석을 배치.
- SaaS 통합을 제로 트러스트 정책으로 강화.
- 패치 관리와 네트워크 마이크로 세분화를 가속화.
CrowdStrike, FBI, Verizon이 제시한 다섯 가지 공격 표면을 모두 보완하면, 금융 서비스 조직은 현재 MFA가 놓치는 격차를 메우고 진화하는 위협 환경을 앞서 나갈 수 있습니다.