마이크로소프트 위협 인텔리전스는 2026년 1분기 이메일 위협 환경 분석 보고서를 발표하고 이같은 이메일 공격 동향을 14일 공개했다.
보고서에 따르면 올해 1분기 탐지된 이메일 기반 피싱 공격은 약 83억건으로 집계됐다. 월별로는 1월 29억건에서 3월 26억건으로 소폭 줄었지만, 공격 방식은 더욱 정교해진 것으로 분석됐다.
(사진=마이크로소프트)
서비스형 피싱(PhaaS) 플랫폼 ‘타이쿤2FA’와 관련한 공격도 주요 사례로 제시됐다. 타이쿤2FA는 중간자(AiTM) 기법을 활용해 피싱 저항성이 낮은 다요소 인증(MFA)을 우회하는 공격에 쓰인다. 마이크로소프트는 해당 조직을 ‘스톰-1747’로 추적하고 있다.
마이크로소프트 디지털 크라임 유닛은 지난 3월 유로폴 및 업계 파트너와 협력해 타이쿤2FA 인프라에 대한 차단 조치를 시행했다. 이후 관련 이메일 공격 규모는 3월 말까지 약 15% 감소했다. 활성 피싱 페이지 접근성도 크게 제한된 것으로 나타났다.
다만 공격자들은 이후 대체 인프라로 전환을 시도하고 있다. 3월 말 이후 .RU 도메인 사용 비중은 41% 이상으로 증가했으며, 기존 클라우드플레어 중심 호스팅 구조에서 벗어나 여러 플랫폼으로 분산하는 움직임이 관측됐다.
QR코드 피싱 공격도 빠르게 늘었다. 1분기 QR코드 피싱은 146% 증가했다. 1월 760만건이던 공격 건수는 3월 1870만건으로 늘어 최근 1년 내 최대치를 기록했다. 공격자들은 이미지형 QR코드를 활용해 텍스트 기반 스캔을 우회하고, 관리되지 않는 모바일 기기로 사용자를 유도하는 방식을 주로 사용했다.
이메일 본문에 QR코드를 직접 삽입하는 방식도 늘었다. QR코드 피싱에서 PDF 첨부파일 비중은 1월 65%에서 3월 70%로 증가했다. 3월에는 이메일 본문에 QR코드를 직접 넣는 방식이 전월 대비 336% 급증했다.
캡차를 활용한 피싱 공격도 증가세를 보였다. 캡차 기반 피싱은 1월과 2월 감소세를 보이다 3월 전월 대비 125% 증가해 약 1190만건을 기록했다. 마이크로소프트는 공격자들이 정당한 인증 절차처럼 보이는 캡차를 이용해 자동화 탐지를 회피하고 사용자 행동을 유도한다고 설명했다.
악성 페이로드 분야에서는 자격 증명 피싱이 대부분을 차지했다. 자격 증명 피싱 비중은 1월 89%에서 2월 95%로 증가한 뒤 3월에도 94% 수준을 유지했다. 반면 전통적인 악성코드 배포는 분기 말 기준 5~6% 수준으로 줄었다.
비즈니스 이메일 침해 공격은 1분기 총 1070만건으로 집계됐다. 초기 접촉 이메일의 82~84%는 관계 형성을 유도하는 대화형 메시지였다. 특정 금융 거래나 문서를 직접 요청하는 유형은 9~10% 수준에 그쳤다. 공격자들이 먼저 신뢰를 쌓은 뒤 금전 요청으로 이어가는 방식을 선호한다는 분석이다.
마이크로소프트는 이메일 위협 대응을 위해 마이크로소프트 디펜더 포 오피스 365와 익스체인지 온라인 프로텍션의 권장 설정을 점검하고, 이메일 위협 탐지·대응 체계를 강화해야 한다고 권고했다. 또 사용자 보안 인식 교육, 모의훈련, 링크·첨부파일 보호, 패스워드리스 인증, 조건부 접근 정책 등을 함께 적용할 필요가 있다고 강조했다.
