해커들이 합법적인 OAuth 리디렉션 메커니즘을 악용하여 이메일 및 브라우저의 피싱 방어 기능을 우회하고, 사용자를 악성 페이지로 유도하는 공격이 증가하고 있습니다. Microsoft Defender 연구진에 따르면, 이 공격은 정부 및 공공기관을 주요 대상으로 하며, 전자서명 요청, 사회보장 관련 통지, 회의 초대, 비밀번호 재설정, 금융 및 정치 이슈 등 다양한 주제의 OAuth 리디렉션 URL이 포함된 피싱 링크를 활용합니다. 일부 경우에는 PDF 파일 내에 URL을 삽입해 탐지를 피하기도 합니다.
공격자는 자신이 제어하는 테넌트에 악성 OAuth 애플리케이션을 등록하고, 리디렉션 URI를 자신의 인프라로 설정합니다. Microsoft Entra ID와 같은 신원 제공자의 정상적인 인증 요청처럼 보이지만, 실제로는 상호작용 없는 인증과 잘못된 scope 파라미터를 사용해 인증 오류를 유발하고, 이를 통해 사용자를 공격자가 지정한 리디렉션 URI로 강제 이동시킵니다. 이 과정에서 EvilProxy와 같은 공격자-중간자 프레임워크를 활용해 세션 쿠키를 탈취, 다중 인증(MFA)까지 우회할 수 있습니다. 또한, ‘state’ 파라미터를 악용해 피해자의 이메일 주소를 자동 입력시켜 피싱 페이지의 신뢰도를 높입니다.
일부 공격에서는 피해자를 ‘/download’ 경로로 리디렉션하여 악성 ZIP 파일을 자동으로 배포합니다. 이 ZIP 파일에는 바로가기(.LNK) 파일과 HTML 스머글링 도구가 포함되어 있으며, 실행 시 PowerShell을 통해 호스트 정보를 수집하고 DLL 사이드로딩을 통해 최종 악성 페이로드를 메모리에 적재합니다. Microsoft는 OAuth 애플리케이션 권한을 강화하고, 강력한 신원 보호 및 조건부 접근 정책을 적용하며, 이메일·신원·엔드포인트 간 교차 탐지를 권고하고 있습니다.
※ 이 글은 생성형 AI(gpt4.1)에 의해 요약되었습니다.