링크 기반 공격 비중 78%...QR 코드 피싱 1분기 146% 증가, 캡차 기반 피싱 3월 125% 증가
마이크로소프트 위협 인텔리전스(Microsoft Threat Intelligence)가 2026년 1분기 이메일 위협 환경 분석 보고서를 발표하고, 공격 방식의 변화와 주요 트렌드를 공개했다.
보고서에 따르면, 해당 분기 동안 탐지된 이메일 기반 피싱 공격은 약 83억 건에 달했다. 월별로는 1월 29억 건에서 3월 26억 건으로 소폭 감소했으나, 공격 양상은 보다 정교해지고 다양화되는 흐름을 보였다. 특히 링크 기반 피싱과 QR 코드 공격 증가, 전달 방식의 다변화는 이메일 위협이 지속적으로 진화하고 있음을 보여준다.
전체 이메일 위협의 78%는 링크 기반 공격으로 나타났다. 악성 페이로드 비중은 1월 19%에서 2·3월에는 13% 수준으로 안정화됐으며, 자격 증명 탈취가 주요 공격 목적을 유지했다. 이는 공격자들이 로컬 실행보다 호스팅 기반 자격 증명 피싱 인프라를 선호하는 흐름이 강화되고 있음을 시사한다는 설명이다.
또한 디바이스 코드 피싱 등 새로운 자격 증명 탈취 기법의 초기 징후도 관측되며, 공격 방식의 지속적인 진화가 확인됐다.
타이쿤2FA 차단 조치와 영향
서비스형 피싱(PhaaS) 플랫폼인 타이쿤2FA(Tycoon2FA)는 중간자(AiTM) 기법을 활용해 피싱 저항성이 없는 다요소 인증(MFA)을 우회하는 공격을 수행한다. 마이크로소프트는 해당 조직을 ‘스톰-1747’로 추적하고 있으며, 공격자는 기업 로그인 페이지를 사칭하는 피싱 키트와 인프라를 임대하는 방식으로 활동을 확장해 왔다.
2026년 3월 초, 마이크로소프트 디지털 크라임 유닛(DCU)은 유로폴 및 업계 파트너와 협력해 타이쿤2FA 인프라에 대한 대응 조치를 시행했다. 이후 당월 말까지 관련 이메일 공격 규모는 약 15% 감소하는 양상이 나타났으며, 활성 피싱 페이지 접근성 역시 크게 제한됐다.
특히 3월 초반 3일 간 집중되었던 공격 시도는 이후 낮은 일별 공격량을 유지했다. 이는 마이크로소프트의 대응 조치가 공격자의 인프라 운영과 호스팅 역량에 상당 부분 제약을 가했음을 시사한다고 보고서는 전했다.
한편 공격자들은 대응 이후에도 대체 인프라로의 전환을 시도하고 있다. 3월 말 이후 .RU 도메인 사용 비중이 41% 이상으로 증가했으며, 기존 클라우드플레어 중심의 호스팅 구조에서 벗어나 다양한 플랫폼으로 분산하는 움직임이 관측됐다. 이러한 변화는 완전한 회복보다는 부분적인 복구 수준을 반영하는 것으로 분석된다.
QR 코드 피싱 공격의 빠른 증가
QR 코드 피싱 공격은 1분기 동안 146% 증가했다. 1월 760만 건이었던 공격 건수는 3월 1,870만 건으로 늘며 최근 1년 내 최대 규모를 기록했다. 텍스트 기반 스캔의 한계를 노린 이미지형 QR 코드를 통해 관리되지 않는 모바일 기기로 사용자를 유도하는 수법이 주로 사용됐다.
이메일 본문 삽입 방식의 변화도 관측됐다. QR 코드 공격에서 PDF 첨부파일 비중은 1월 65%에서 3월 70%로 늘었다. 3월에는 이메일 본문에 QR 코드를 직접 삽입하는 방식이 전월 대비 336% 증가했다. 이는 첨부파일 없이도 공격이 가능한 새로운 경로가 확대되고 있음을 보여준다.
캡차(CAPTCHA) 우회 전술 및 전달 방식 변화
캡차는 정당한 인증 절차를 가장해 자동화된 탐지를 회피하고, 사용자 행동을 유도해 자격 증명 탈취나 악성 코드 실행 성공률을 높이는 데 활용된다. 해당 기법을 활용한 피싱 공격은 1월과 2월 감소 이후 3월 급증하며 전월 대비 125% 증가, 약 1,190만 건으로 최근 1년 내 최고치를 기록했다.
특히 1분기에는 공격 전달 방식 전반에서 빠른 실험과 전환이 반복되는 양상을 보였다. 공격자는 탐지를 회피하기 위해 다양한 파일 형식을 조합하며 효과적인 방식 탐색을 지속하고 있다.
악성 페이로드 트렌드 및 자격 증명 피싱 확대
1분기 악성 페이로드 환경에서는 자격 증명 피싱이 지배적인 비중을 차지했다. 해당 비중은 1월 89%에서 2월 95%로 증가한 후 3월에도 94% 수준을 유지했다. 이러한 자격 증명 탈취형 페이로드는 사용자를 피싱 페이지로 연결하거나, 사용자 기기에서 위조된 로그인 화면을 로컬로 실행하도록 유도하는 방식으로 이뤄졌다.
반면 전통적인 악성 코드 배포는 분기 말 기준 5~6% 수준으로 감소하며 장기적인 하락세를 이어갔다. 파일 유형별로는 PDF 기반 공격이 지속적인 증가세를 보였다.
비즈니스 이메일 침해 현황 및 공격 양상
1분기 비즈니스 이메일 침해(BEC) 공격은 총 1,070만 건으로 집계됐다. 1월 24% 증가한 뒤 2월 8% 감소했으며, 3월에는 26% 증가했다. 초기 접촉 이메일의 82~84%는 관계 형성을 유도하는 대화형 메시지였으며, 특정 금융 거래나 문서를 직접 요청하는 유형은 9~10% 수준에 그쳤다. 이는 공격자들이 신뢰를 형성한 이후 금전 요청으로 이어가는 접근 방식을 선호함을 보여준다.
세부 유형에서는 계절성 요소도 확인됐다. 급여 정보 변경 요청은 2월 15% 증가했으며, 기프트 카드 요청은 2월 감소 후 3월 다시 증가했지만 전체 비중은 3% 미만에 머물렀다.
이메일 위협 대응을 위한 주요 권고 사항
마이크로소프트는 이메일 기반 위협 대응을 위한 여러 조치를 권장했다. 우선 마이크로소프트 디펜더 포 오피스 365(Microsoft Defender for Office 365) 및 익스체인지 온라인 프로텍션(Exchange Online Protection)의 권장 설정을 점검하고, 이메일 위협 탐지·대응 체계를 강화할 것을 강조했다.
이외에도 ▲보안 설정 점검 및 모니터링 ▲사용자 인식 교육·모의훈련 ▲사후 격리·삭제 등 대응 체계 강화 ▲접근·인증 및 단말·브라우저 보호 강화를 권고했다. 또한 링크·첨부파일 보호, 네트워크·브라우저 기반 차단, 패스워드리스 인증과 조건부 접근 정책, 진행 중 공격의 자동 차단 등 대응 방안도 함께 제시했다.
<저작권자(c)스마트앤컴퍼니. 무단전재-재배포금지>
