"마이크로소프트 인증QR? 다 사기입니다"…더 정교해진 수법, 뭔가 했더니

마이크로소프트(MS) 다중 인증(MFA)을 사칭해 계정 정보를 탈취하는 '큐싱' 메일. 이스트시큐리티 블로그 캡처

마이크로소프트(MS) 다중인증(MFA)을 사칭한 큐싱(QR코드 피싱) 공격이 확산되고 있어 기업과 개인 사용자의 각별한 주의가 요구된다.

16일 보안 솔루션 ‘알약’을 운영하는 이스트시큐리티에 따르면 ‘Ticket# QQL0ISI - MFA | 09 July,2025’ 제목의 악성 메일이 대량 유포되고 있다. 해당 메일은 수신자의 다중인증이 만료된다며 MS 365 서비스 연결을 위해 QR코드 스캔을 유도하는 수법을 사용한다.

공격 과정은 정교하다. 사용자가 QR코드를 스캔하면 공격자가 제작한 피싱 사이트로 연결되며 캡차(CAPTCHA) 인증 화면을 통해 정상 사이트로 착각하게 만든다. 이후 MS 계정 로그인 페이지로 위장한 가짜 페이지에서 계정 비밀번호 입력을 요구한다.



특히 공격자들은 사용자가 비밀번호를 입력하면 ‘비밀번호가 틀렸다’는 메시지를 표시해 재입력을 유도한 뒤 ‘계정이 일시적으로 잠겨 나중에 다시 시도하라’는 가짜 메시지를 보여주며 공격을 마무리한다.

보안 전문가들은 공격자들이 피싱 페이지 분석을 회피하기 위해 난독화된 코드를 사용하고 있어 탐지가 어려운 상황이라고 설명했다. 해당 코드는 자동화 도구 차단, 특정 키 입력 방지 등 다양한 우회 기능을 포함한다.

이스트시큐리티는 “QR코드를 스캔하기 전 반드시 신뢰할 수 있는 출처인지 확인해야 한다”며 “스캔한 후에도 접속한 사이트 URL 진위 여부를 철저히 검증해야 한다”고 당부했다.

"마이크로소프트 인증QR? 다 사기입니다"…더 정교해진 수법, 뭔가 했더니