기술 설명
FBI의 인터넷 범죄 불만 센터(IC3)는 2026년 5월 21일 PSA260521을 발표하여 2026년 4월에 처음 탐지된 신흥 피싱-애즈-어-서비스 플랫폼인 Kali365에 대해 경고했습니다. Kali365는 AI 생성 피싱 미끼, 자동화된 캠페인 템플릿, 실시간 피해자 추적 대시보드를 사용하여 낮은 수준의 공격자가 합법적인 OAuth 2.0 디바이스 인증(디바이스 코드) 흐름을 악용함으로써 Microsoft 365 OAuth 액세스 및 새로고침 토큰을 탈취할 수 있도록 합니다. 피해자는 Microsoft의 합법적인 확인 페이지에 공격자가 생성한 디바이스 코드를 입력하도록 속아서 MFA를 완전히 우회하는 지속적인 토큰을 받을 수 있도록 공격자의 디바이스를 무의식적으로 인증합니다. 토큰은 Outlook, Teams, OneDrive 및 SSO 연결 SaaS 플랫폼에 대한 액세스를 제공합니다.
공격 경로
공격자는 Microsoft의 OAuth 디바이스 인증 부여 흐름을 통해 디바이스 코드를 생성하고, 코드 및 microsoft.com/devicelogin을 방문하라는 지시사항이 포함된 클라우드 생산성 서비스를 사칭하는 피싱 이메일을 전송합니다. 피해자는 실제 Microsoft 페이지에서 인증(및 MFA 만족)을 완료하고, 공격자는 결과 OAuth 액세스 + 새로고침 토큰을 캡처하여 자신의 인프라에서 사용합니다. 비밀번호 가로채기나 MFA 우회 기술이 필요하지 않습니다 — 합법적인 흐름이 공격입니다.
영향받는 시스템
디바이스 코드 인증이 활성화된 Microsoft 365 / Microsoft Entra를 사용하는 모든 조직, 특히 자격 증명 탈취에 대한 유일한 보호 수단으로 MFA에 의존하는 조직이 높은 위험에 있습니다. 보조 공격 모드('Cookie Link')는 AitM 프록시를 사용하여 세션 쿠키를 캡처합니다.
완화 방안
1) Microsoft Entra의 조건부 액세스 정책을 통해 디바이스 코드 인증 흐름을 제한하거나 차단; 2) 기존 디바이스 코드 사용 및 등록 로그 감사; 3) 인증 전송 정책 차단; 4) FIDO2/passkey를 기본 요소로 하는 피싱 저항 MFA 배포; 5) 비정상적인 OAuth 토큰 발급 및 새 디바이스 등록에 대한 경고; 6) 사용자에게 디바이스 코드 피싱 미끼 인식 훈련(제목: 'SharePoint – Document Shared', 'OneDrive – File Shared', 'DocuSign – Signature Required'). 사건을 ic3.gov에 보고하세요.