2026년, Forg365·Jalisco·OmegaLord 등 피싱 서비스(PhaaS) 킷들이 MFA를 '깨는' 대신 합법적인 로그인 과정 자체를 가로채는 방식으로 진화했다. ForgCookie 브라우저 확장 프로그램은 훔친 세션 쿠키를 자동으로 갱신해 비밀번호 변경 후에도 Outlook·Teams·OneDrive에 대한 접근을 유지한다.

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What is the latest wave of phishing threats targeting Microsoft 365 accounts, including the Forg3. Article summary: Here is a comprehensive, sourced analysis of the latest wave of Microsoft 365 phishing threats as of July 2026.. Topic tags: general, government, general web, user generated, documentation. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it usefu
보안 연구원들은 2026년 들어 MFA를 우회하도록 설계된 피싱 서비스(PhaaS) 플랫폼과 킷이 급증하고 있다고 경고합니다. 이들은 암호화된 MFA를 깨는 대신 합법적인 인증 과정 자체를 납치합니다. 즉, 세션 토큰을 가로채거나 OAuth 디바이스 코드 흐름을 악용하거나, 피해자의 MFA 승인이 공격자에게 유리하게 작용하도록 프록시를 통해 실제 로그인을 중계합니다 .
제로BEC(ZeroBEC)와 BleepingComputer가 2026년 7월 9일 처음 공개한 Forg365는 텔레그램을 통해 유통되는 월 400달러(약 55만 원) 구독형 PhaaS 플랫폼입니다 . 이 플랫폼은 세 가지 혁신적인 기능을 갖췄습니다.
microsoft.com/devicelogin으로 유인해 공격자가 제공한 코드를 입력하도록 속임)을 모두 실행합니다 ForgCookie라는 브라우저 확장 프로그램은 Chrome, Edge, Brave와 호환됩니다 . 피해자의 세션 토큰이나 쿠키가 탈취되면 ForgCookie가 훔친 세션 쿠키를 자동으로 갱신합니다. 공격자는 재인증 없이 Outlook, Teams, OneDrive, SharePoint에 계속 접근할 수 있으며, 심지어 피해자가 비밀번호를 변경해도 마찬가지입니다
. 이는 일회성 토큰 탈취를 장기적이고 지속적인 침해로 바꿔줍니다.
릴리아퀘스트(ReliaQuest)와 BleepingComputer가 2026년 7월 14일 공개한 Jalisco는 Microsoft 365 계정을 대상으로 활발히 사용되는 디바이스 코드 피싱 킷입니다 . 작동 방식은 다음과 같습니다.
즉, MFA가 '뚫린' 것이 아니라 '무기화'된 것입니다.
같은 날(2026년 7월 14일) 보고된 OmegaLord는 다른 접근 방식을 사용합니다. 가짜 PDF 리더 브라우저 페이지로 위장합니다 . 피해자가 페이지에 접속하면:
여러 소식통은 더 광범위한 업계 트렌드를 확인하고 있습니다.
이러한 모든 위협을 관통하는 핵심 통찰은 MFA가 기술적으로 패배한 것이 아니라 '공모'되었다는 점입니다.
| 기술 | 실제 상황 | MFA가 막지 못하는 이유 |
|---|---|---|
| 디바이스 코드 피싱 | 피해자가 공격자의 코드를 진짜 MS 로그인 페이지에 입력하고 자신의 MFA를 완료함 | 토큰이 공격자의 앱으로 전송됨. MFA는 올바른 사용자를 승인했지만, 잘못된 클라이언트를 승인한 것임. |
| AiTM 프록시 | 피해자가 공격자의 프록시를 통해 로그인하고, MFA가 정상적으로 완료됨 | 공격자가 세션 쿠키를 실시간으로 캡처해 세션을 가로챔. |
| 자격 증명 + OTP 수집 | 가짜 로그인 폼이 비밀번호와 OTP를 동시에 캡처함 | OTP가 만료되기 전에 공격자가 즉시 사용함. |
이것이 전통적인 MFA만으로는 더 이상 충분한 방어가 될 수 없는 이유입니다 .
여러 권고 사항을 바탕으로 다음 조치를 강력히 권장합니다.
devicecode 인증을 차단합니다.offline_access, Mail.Read, Files.ReadWrite.All 권한을 요청하는 앱을 주시합니다.이러한 권장 사항은 FBI PSA , Microsoft 보안 블로그
, BleepingComputer
, ReliaQuest 위협 분석
에서 비롯되었습니다.
Forg365(ForgCookie 지속성 확장 프로그램 포함), Jalisco, OmegaLord 그리고 더 넓은 디바이스 코드 및 AiTM 킷 생태계가 주도하는 2026년 Microsoft 365 피싱 공격의 물결은 패러다임 전환을 의미합니다. 공격자는 더 이상 비밀번호를 훔치거나 MFA를 깨뜨릴 필요가 없습니다. 대신 OAuth 신뢰 모델을 남용해 피해자 자신의 인증이 공격자가 제어하는 세션을 승인하도록 만듭니다. 보안 커뮤니티의 일관된 권장 사항은 제로 트러스트 자세입니다. 사용하지 않는 인증 흐름을 비활성화하고, 조건부 액세스를 적용하고, 토큰 승인을 모니터링하고, 피싱 저항형 MFA로 전환하십시오 .
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
2026년, Forg365·Jalisco·OmegaLord 등 피싱 서비스(PhaaS) 킷들이 MFA를 '깨는' 대신 합법적인 로그인 과정 자체를 가로채는 방식으로 진화했다.
2026년, Forg365·Jalisco·OmegaLord 등 피싱 서비스(PhaaS) 킷들이 MFA를 '깨는' 대신 합법적인 로그인 과정 자체를 가로채는 방식으로 진화했다. ForgCookie 브라우저 확장 프로그램은 훔친 세션 쿠키를 자동으로 갱신해 비밀번호 변경 후에도 Outlook·Teams·OneDrive에 대한 접근을 유지한다.
FBI와 마이크로소프트는 OAuth 디바이스 코드 흐름 차단, 조건부 액세스 정책 강화, 피싱 저항형 MFA(FIDO2) 도입을 권고한다.