사기꾼들이 ‘진짜’ Microsoft 주소로 피싱 메일을 보내는 이유

결과적으로 공격자는 피싱 메시지를 Microsoft 시스템 이메일 템플릿 안에 주입하게 된다.

필터를 피하기 위한 추가 기법

연구자들은 이 캠페인에서 여러 우회 기법도 발견했다.

• 제목 줄 장악(Subject-line hijacking) – 테넌트 이름 필드에 긴 사기 문구를 넣어 제목이나 미리보기 텍스트 대부분을 피싱 메시지로 채운다.
• 유사 문자 사용 – 키워드 필터를 피하기 위해 비슷하게 보이는 다른 문자(homoglyph)를 사용한다.
• 전화번호 숨기기 – 숫자 대신 문자나 특수문자를 섞어 자동 필터가 인식하지 못하게 만든다.

이 방식은 자동 스팸 필터를 피하면서도 사람에게는 메시지가 읽히도록 설계됐다.

왜 이메일이 진짜처럼 보일까

이 공격이 위험한 이유는 단순한 발신자 위조가 아니라는 점이다.

이메일이 마이크로소프트 인프라에서 실제로 발송되기 때문에 많은 메일 시스템이 사용하는 인증 검사인 SPF, DKIM, DMARC를 통과할 수 있다.

또한 수신자는 계정 알림에 자주 사용되는 Microsoft 주소를 보게 되므로 메시지 내용이 의심스러워도 신뢰하기 쉽다.

즉, 신뢰된 발신 인프라 + 삽입된 피싱 메시지라는 조합이 기존 피싱보다 훨씬 설득력을 높인다.

연구자들과 스팸 대응 단체의 보고

보도와 보안 연구에 따르면 이러한 악용은 수개월 동안 이어졌다.

보고된 내용에는 다음이 포함된다.

• Microsoft 알림 주소에서 여러 사용자에게 동일한 구조의 피싱 이메일이 발송된 사례
• 가짜 구매 알림, 결제 문제, 긴급 지원 요청 등의 사기 시나리오
• 일회용 Microsoft 365 테넌트를 대량으로 만들고 폐기하는 "burn‑and‑churn" 방식 운영

스팸 대응 커뮤니티와 보안 연구자들은 자동 알림 시스템의 높은 커스터마이즈 수준이 문제라며, 신뢰된 플랫폼 자체가 피싱 전달 채널로 악용될 수 있다고 경고했다.

또한 관련 보도 시점 기준으로 마이크로소프트가 정확한 기술적 원인을 공식적으로 확인하지는 않았다는 점도 언급됐다.

의심스러운 Microsoft 이메일을 구별하는 방법

발신 주소가 실제라고 해서 이메일 내용까지 신뢰할 수 있는 것은 아니다.

다음과 같은 신호가 보이면 주의해야 한다.

• 본인이 요청하지 않은 구매 또는 보안 경고
• 지금 바로 전화하라는 식의 긴급한 안내
• 결제 문제 해결을 요구하는 링크 클릭 요청
• 요청하지 않은 인증 코드 이메일

이런 메시지는 실제 Microsoft 주소에서 와도 피싱일 수 있다.

사용자 보호 방법

의심스러운 Microsoft 이메일을 받았다면 다음과 같이 대응하는 것이 안전하다.

• 이메일 안의 링크나 전화번호를 사용하지 않는다.
• 브라우저에 직접 공식 Microsoft 사이트 주소를 입력해 접속한다.
• 계정 대시보드에서 로그인 기록과 활동을 확인한다.
• 이메일 클라이언트에서 피싱으로 신고하거나 회사 보안팀에 전달한다.
• 이미 상호작용했다면 Microsoft 계정 비밀번호를 변경하고 로그인 기록을 확인한다.

이번 사례는 최근 사이버 범죄의 흐름을 보여준다. 공격자들은 더 이상 단순히 가짜 도메인을 만드는 데 그치지 않고, 신뢰받는 플랫폼의 정상 기능 자체를 공격 도구로 활용하고 있다. 이런 환경에서는 발신자 이름만으로 이메일을 신뢰하는 방식이 더 이상 충분한 방어가 되지 않는다.