보안동향

최신 보안정보를 신속하게 전해드립니다.

[해외동향] Microsoft 365 환경 대상 대규모 패스워드 스프레이 공격 발생

2026-07-02

최근 2주간 Microsoft 365 환경을 대상으로 한 대규모 패스워드 스프레이 공격이 발생하여 8,100만 건 이상의 로그인 시도가 감지되었다. 공격자는 과거 유출된 유효한 사용자명과 비밀번호 조합을 활용해 Microsoft의 Azure CLI를 통해 인증을 시도했으며, 이 과정에서 64개 조직의 78개 Microsoft 계정이 실제로 침해되었다. 특히, 공격자는 ROPC(Resource Owner Password Credentials) OAuth 메커니즘을 이용해 다중 인증(MFA)을 우회하는 데 성공했다.

Huntress의 조사에 따르면, 많은 조직이 MFA를 적용하고 있었으나, Conditional Access Policy(조건부 액세스 정책) 설정이 미흡해 ROPC 인증 흐름에는 MFA가 적용되지 않았다. 구체적으로는 MFA가 일부 애플리케이션이나 특정 사용자 그룹에만 적용되거나, 신뢰되지 않은 위치에서만 요구되는 등 정책의 허점이 드러났다. 일부 조직은 아예 MFA 정책이 없었으며, 정책이 보고 전용 모드로만 설정되어 실제로는 적용되지 않은 경우도 있었다.

이번 공격 캠페인으로 인해 패스워드 스프레이 공격이 155배 이상 증가했으며, 조직당 월평균 1,964건의 로그인 실패 시도가 발생하고 있다. 공격의 배후는 아직 밝혀지지 않았으나, 활동은 LSHIY LLC(AS32167)가 소유한 IPv6 대역에서 시작된 것으로 확인되었다. Huntress는 해당 사실을 LSHIY에 신고했으나, 아직까지 공식적인 답변을 받지 못했다.

요약

  • Microsoft 365 환경에서 8,100만 건 이상의 패스워드 스프레이 공격이 발생하였다.
  • 공격자는 Azure CLI와 과거 유출된 계정 정보를 활용해 인증을 시도하였다.
  • ROPC OAuth 메커니즘을 통해 다중 인증(MFA)을 우회하는 데 성공하였다.
  • Conditional Access Policy의 미흡한 설정으로 인해 MFA가 제대로 적용되지 않았다.
  • 공격은 LSHIY LLC의 IPv6 대역에서 시작된 것으로 확인되었으나, 배후는 아직 밝혀지지 않았다.

Reference

https://www.bleepingcomputer.com/news/security/hackers-target-microsoft-365-accounts-with-81-million-login-attempts/

※ 이 글은 생성형 AI(gpt4.1)에 의해 요약되었습니다.

목록