마이크로소프트 “1분기 이메일 피싱 83억건…QR 코드 공격 146% 증가”

마이크로소프트 위협 인텔리전스(Microsoft Threat Intelligence)는 2026년 1분기 이메일 위협 환경 분석 보고서를 발표했다고 14일 밝혔다.

보고서에 따르면, 1분기 탐지된 이메일 기반 피싱 공격은 약 83억건이었다. 월별 공격 규모는 1월 29억건에서 3월 26억건으로 줄었다. 다만 공격 방식은 링크 기반 피싱, QR 코드 피싱, 캡차(CAPTCHA) 기반 피싱 등으로 다양해졌다.

전체 이메일 위협의 78%는 링크 기반 공격이었다. 공격자는 사용자를 악성 링크로 유도해 자격 증명을 탈취하는 방식을 주로 활용했다. 악성 페이로드 비중은 1월 19%에서 2월과 3월 13% 수준으로 낮아졌다. 페이로드는 공격자가 시스템 침투나 정보 탈취를 위해 전달하는 악성 코드나 실행 요소를 뜻한다.

마이크로소프트는 새로운 자격 증명 탈취 기법도 관측했다고 밝혔다. 디바이스 코드 피싱이 대표 사례다. 이 방식은 사용자가 정상 인증 절차로 착각하게 만든 뒤 공격자가 계정 접근 권한을 확보하는 방식으로 쓰인다.

타이쿤2FA 대응 후 관련 공격 감소

마이크로소프트는 서비스형 피싱(PhaaS) 플랫폼인 타이쿤2FA(Tycoon2FA) 대응 조치 이후 관련 이메일 공격이 약 15% 감소했다고 밝혔다. 서비스형 피싱은 공격 도구와 인프라를 서비스처럼 제공하는 방식이다.

타이쿤2FA는 중간자(AiTM) 기법으로 다요소 인증(MFA)을 우회하는 피싱 공격에 쓰였다. 중간자 기법은 공격자가 사용자와 정상 서비스 사이에 끼어 인증 정보나 세션 정보를 가로채는 방식이다. 마이크로소프트는 이 조직을 ‘스톰-1747’로 추적하고 있다.

마이크로소프트 디지털 크라임 유닛(DCU)은 2026년 3월 초 유로폴, 업계 파트너와 협력해 타이쿤2FA 인프라에 대응했다. 이후 활성 피싱 페이지 접근성이 제한됐다. 3월 초 3일간 집중됐던 공격 시도는 이후 낮은 일별 공격량을 유지했다.

다만 공격자는 대체 인프라로 전환을 시도했다. 3월 말 이후 .RU 도메인 사용 비중은 41% 이상으로 늘었다. 기존 클라우드플레어 중심 호스팅 구조에서 여러 플랫폼으로 분산하는 움직임도 나타났다.

QR 코드·캡차 피싱 증가

QR 코드 피싱 공격은 1분기 146% 증가했다. 공격 건수는 1월 760만건에서 3월 1870만건으로 늘었다. 최근 1년 내 최대 규모다.

공격자는 이미지형 QR 코드를 이메일에 넣어 사용자를 관리되지 않는 모바일 기기로 유도했다. 이메일 보안 솔루션의 텍스트 기반 탐지를 피하려는 방식이다. QR 코드 공격에서 PDF 첨부파일 비중은 1월 65%에서 3월 70%로 늘었다. 3월에는 이메일 본문에 QR 코드를 직접 넣는 방식도 전월 대비 336% 증가했다.

캡차 기반 피싱도 3월 급증했다. 캡차는 사람과 자동화 프로그램을 구분하기 위한 인증 절차다. 공격자는 이를 정상 절차처럼 보이게 만들어 탐지를 피하고 사용자의 행동을 유도했다. 캡차 기반 피싱은 3월 전월 대비 125% 증가해 약 1190만건을 기록했다.

비즈니스 이메일 침해 1070만건

1분기 비즈니스 이메일 침해(BEC) 공격은 총 1070만건이었다. BEC는 거래처나 임직원을 사칭해 금전 이체나 정보 제공을 유도하는 이메일 사기다.

월별로는 1월 24% 증가한 뒤 2월 8% 감소했다. 3월에는 다시 26% 증가했다. 초기 접촉 이메일의 82~84%는 관계 형성을 유도하는 대화형 메시지였다. 특정 금융 거래나 문서를 직접 요청하는 유형은 9~10% 수준이었다.

마이크로소프트는 공격자가 처음부터 금전 요청을 하기보다 대화로 신뢰를 만든 뒤 사기 행위로 이어가는 방식을 선호한다고 분석했다. 급여 정보 변경 요청은 2월 15% 증가했다. 기프트 카드 요청은 3월 다시 늘었지만 전체 비중은 3% 미만이었다.

마이크로소프트는 이메일 위협 대응 방안으로 보안 설정 점검, 사용자 인식 교육, 모의훈련, 사후 격리, 삭제 체계 강화를 권고했다. 패스워드리스 인증, 조건부 접근 정책, 링크·첨부파일 보호, 브라우저 기반 차단도 대응 방안으로 제시했다.

글. 바이라인네트워크
<곽중희 기자>god8889@byline.network

일간 바이라인 구독하기

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.