MS 365 이메일 보안 무력화… ‘스마트 리다이렉트’ 악용 피싱 확산

최근 이메일 보안 시스템마저 피해갈 수 있는 신종 피싱 공격이 급증하고 있다. '퀀텀 루트 리다이렉트(Quantum Route Redirect)'로 불리는 자동화 피싱 툴을 활용한 공격으로 전 세계 기업과 개인이 널리 사용하는 '마이크로소프트365(Microsoft 365)' 사용자를 주요 표적으로 삼고 있다. 공격자가 사용하기 편리한 플랫폼 형태를 갖추고 있는 점도 확산을 부추기고 있다.

피싱 공격은 이메일에 포함된 악성 링크를 우선 보안 솔루션에는 정상 사이트 주소(URL)처럼 보이게 해 탐지를 피하며 시작된다. 하지만 실제 사용자가 링크를 클릭하면 피싱 사이트로 연결된다. 즉 보안 프로그램이 자동으로 URL을 점검할 때는 안전한 페이지로 리다이렉트(자동 연결)되지만, 사람이 링크를 클릭하면 자격증명 탈취나 개인정보 유출을 노리는 사기 사이트로 바로 접속되는 것이다.

이 툴은 사용자의 브라우저 정보를 분석하거나 VPN(가상사설망)·프록시 사용 탐지, 행동 패턴 분석 등으로 사람이 직접 클릭한 경우에만 공격을 시도한다. 이렇게 ‘스마트 리다이렉트’ 기술을 악용함으로써 이메일 보안 솔루션이나 스팸 필터, 웹 방화벽, 심지어 클릭 시점 분석 등의 기술을 모두 우회할 수 있다.

미국 보안 업체 노우비포(Knowbe4)의 분석에 따르면, 실제 1000여개 도메인이 이 툴을 호스팅해 피싱 공격을 감행한다. 피해는 주로 미국 등을 중심으로 전 세계 90여개국에 걸쳐 확산 중인 것으로 확인됐다.

공격자들은 급여 명세서, 인사 알림, 계약서 등 회사를 사칭한 이메일을 발송하거나 음성 파일이나 QR코드를 첨부해 피싱 사이트로 유도하는 전략까지 병행하고 있다. 뿐만 아니라 구글, 링크드인과 같은 신뢰할 수 있는 유명 거대 플랫폼의 '오픈 리다이렉트’ 기능이나 드롭박스, 원드라이브 등의 클라우드 저장소를 악용해 악성 URL을 감추는 수법을 사용한다. 이로 인해 보안 솔루션이 악성 링크를 탐지하기 훨씬 어렵다.

뿐만 아니라 '퀀텀 루트 리다이렉트'와 유사한 '록스타 2FA(Rockstar 2FA)' 등 신종 서비스형 피싱 도구(PhaaS)는 복잡한 다중인증(MFA)까지 뚫어 세션 쿠키를 탈취하는 고난도 공격법도 사용하는 것으로 확인되고 있다. 이러한 도구는 클라우드 기반 안티 봇 솔루션이나 무작위 링크 생성기능 등 최신 기술을 동원해 탐지 회피율을 높이는 방식을 활용한다.

김형철 지란지교시큐리티 메일사업본부장은 "이 같은 공격은 단일 보안 솔루션으로는 대응에 한계가 있다"며 "멀티 필터링, 의심스러운 URL 분석, 발신자 인증, 피싱 저항형 다중인증(MFA) 등 다층 방어체계를 갖춰야 하며 무엇보다 사용자 보안 인식 강화가 필수다. 보안 솔루션을 우회하는 공격을 막는 키(KEY)는 '사람'에 있기 때문이다"라고 말했다. 그는 "정기적인 이메일 모의훈련을 통해 보안 인식을 제고하고, 의심스러운 이메일·링크는 클릭하지 않는 보안 습관을 기르는 것이 최선이자 가장 중요한 예방법이다"라고 조언했다.

정종길 기자

jk2@chosunbiz.com