QR코드 찍었더니 가짜 로그인창…이메일 피싱 더 교묘해졌다

올해 1분기 전체 이메일 위협 10건 중 8건은 링크 기반 공격으로 나타났다. QR코드와 캡차를 활용한 우회형 피싱도 빠르게 늘며 자격 증명 탈취를 노린 이메일 공격이 한층 정교해진 분위기다.

14일 마이크로소프트 위협 인텔리전스가 발표한 '2026년 1분기 이메일 위협 환경 분석 보고서'에 따르면 이 기간 동안 탐지한 이메일 기반 피싱 공격은 약 83억 건에 달했다. 월별로는 1월 29억 건에서 3월 26억 건으로 소폭 줄었지만, 공격 방식은 더 다양해졌다.

전체 이메일 위협의 78%는 링크 기반 공격이었다. 악성 페이로드 비중은 1월 19%에서 2월과 3월 13% 수준으로 낮아졌다. 공격자들이 이용자 기기에서 직접 실행되는 악성 파일보다 가짜 로그인 페이지 등 호스팅 기반 자격 증명 탈취 인프라를 더 적극 활용하고 있다는 의미다.

서비스형 피싱(PhaaS) 플랫폼 '타이쿤2FA'에 대한 차단 효과도 확인됐다. 타이쿤2FA는 중간자(AiTM) 기법을 활용해 피싱 저항성이 없는 다요소 인증(MFA)을 우회하는 공격에 쓰인다. 마이크로소프트는 해당 조직을 '스톰-1747'로 추적하고 있다.

마이크로소프트 디지털 크라임 유닛은 지난 3월 초 유로폴 및 업계 파트너와 함께 타이쿤2FA 인프라 대응 조치를 시행했다. 이후 3월 말까지 관련 이메일 공격 규모는 약 15% 감소했다. 활성 피싱 페이지 접근도 크게 제한된 것으로 나타났다.

공격자들은 차단 이후에도 대체 인프라 확보를 시도했다. 3월 말 이후 .RU 도메인 사용 비중은 41% 이상으로 늘었다. 기존 클라우드플레어 중심 호스팅 구조에서 벗어나 여러 플랫폼으로 분산하려는 움직임도 관측됐다.

QR코드 피싱은 1분기 동안 146% 증가했다. 1월 760만 건이던 공격 건수는 3월 1870만 건으로 늘어 최근 1년 내 최대치를 기록했다. 공격자들은 이미지형 QR코드를 이메일에 삽입해 텍스트 기반 보안 스캔을 우회하고, 이용자를 관리되지 않는 모바일 기기로 유도했다.

QR코드 전달 방식도 바뀌고 있다. QR코드 피싱에서 PDF 첨부파일 비중은 1월 65%에서 3월 70%로 높아졌다. 3월에는 이메일 본문에 QR코드를 직접 삽입하는 방식이 전월 대비 336% 증가했다. 첨부파일 없이도 공격을 시도하는 경로가 확대된 셈이다.

캡차 기반 피싱도 급증했다. 캡차는 정상 인증 절차처럼 보이도록 만들어 자동화 탐지를 회피하고, 이용자 행동을 유도하는 데 활용된다. 해당 기법을 활용한 피싱 공격은 1월과 2월 감소세를 보이다 3월 전월 대비 125% 늘어 약 1,190만 건을 기록했다.

악성 페이로드 유형에서는 자격 증명 피싱이 압도적 비중을 차지했다. 자격 증명 피싱 비중은 1월 89%에서 2월 95%로 증가했고, 3월에도 94% 수준을 유지했다. 반면 전통적인 악성코드 배포 비중은 분기 말 기준 5~6% 수준으로 낮아졌다.

비즈니스 이메일 침해(BEC) 공격은 1분기 1070만 건으로 집계됐다. 1월 24% 증가한 뒤 2월 8% 줄었고, 3월에는 다시 26% 늘었다. 초기 접촉 이메일의 82~84%는 관계 형성을 노린 대화형 메시지였다. 금융 거래나 문서를 직접 요구하는 유형은 9~10% 수준에 그쳤다.

공격자들은 초기 접촉 단계에서 금전 요구보다 신뢰 형성에 초점을 맞춘 것으로 분석됐다. 세부 유형별로는 급여 정보 변경 요청이 2월 15% 증가했다. 기프트카드 요청은 2월 감소한 뒤 3월 다시 늘었지만 전체 비중은 3% 미만에 그쳤다.