안녕하세요, 여러분! 😊
최근 Adobe Acrobat, Adobe Drive, DocuSign 등을 사칭한 악성 OAuth 앱이 발견되었으며,
이러한 공격이 활발하게 진행 중이라는 경고가 나왔습니다.
공격자들은 이러한 위장된 OAuth 애플리케이션을 통해 사용자의 계정 권한을 빼앗고,
악성 웹사이트로 리디렉션하는 방식으로 공격을 수행하고 있습니다. 😨
특히, GitHub을 타겟으로 한 OAuth 공격도 함께 발생하고 있어 개발자들과 기업 보안 담당자들의 주의가 필요합니다!
🔍 1. OAuth 공격이란?
OAuth(오픈 인증)는 사용자가 직접 비밀번호를 제공하지 않고도 애플리케이션이 계정에 접근할 수 있도록
허용하는 인증 방식입니다.
하지만 공격자들은 이 시스템을 악용해 위조된 OAuth 앱을 사용하여 사용자의 계정에 과도한 권한을
부여하도록 유도합니다.
✅ OAuth 공격의 특징
- 비밀번호를 직접 훔치지 않아도 계정 탈취 가능
- 정상적인 API 요청처럼 보이기 때문에 탐지가 어려움
- 공격 성공 시 지속적인 접근 권한 유지 가능
- 피해자가 OAuth 앱을 승인하면 추가적인 악성 앱을 설치할 수도 있음
💀 2. 이번 OAuth 공격 캠페인의 주요 사례
🔴 📂 Adobe Acrobat & Adobe Drive 사칭 공격
- 사용자가 OAuth 앱을 승인하면 Microsoft 365 계정 정보가 피싱 사이트로 유출됨
- 정상적인 Adobe 서비스처럼 보이지만, 로그인 후 악성 웹사이트로 리디렉션
🔴 📝 DocuSign 위장 피싱 공격
- DocuSign 전자 서명 시스템을 사칭하여 이메일 및 OpenID 권한을 요청
- 사용자 승인 후 계정이 탈취되고, 다양한 악성 활동이 가능해짐
🔴 💻 GitHub 개발자 타겟 공격
- "GitHub Notification"이라는 가짜 계정을 사용해 보안 경고 메시지 전송
- 사용자가 클릭하면 OAuth 앱이 모든 리포지토리에 접근할 수 있는 권한을 획득
- 현재까지 8,000개 이상의 GitHub 리포지토리가 공격받은 것으로 확인됨
⚠️ 3. 악성 OAuth 앱이 위험한 이유
✅ 1. 탐지가 어렵다!
- 일반적인 피싱 공격과 달리 OAuth 요청은 정상적인 API 호출처럼 보임
- 대부분의 보안 솔루션(WAF, EDR 등)이 탐지하지 못함
✅ 2. 한 번 승인하면 공격자는 지속적인 접근 권한을 가짐!
- OAuth 앱을 승인하면 비밀번호 변경을 해도 공격자가 계정에 접근 가능
- 관리자가 명시적으로 OAuth 권한을 취소하지 않는 한 지속적인 위협이 존재
✅ 3. 기업뿐만 아니라 개발자도 위험하다!
- 공격자는 개발자의 GitHub 리포지토리에 접근하여 소스 코드 수정, 악성 코드 삽입 가능
- 기업의 소프트웨어 공급망을 타겟으로 한 "서플라이 체인 공격"으로 확산 가능
🔑 4. OAuth 공격을 막기 위한 보안 조치
🔹 ✅ 1. OAuth 앱 권한 검토 및 관리
- Microsoft Security Portal 또는 Google 계정 보안 설정에서 연결된 앱 확인
- 사용하지 않는 OAuth 앱은 즉시 삭제
🔹 ✅ 2. 의심스러운 OAuth 요청 차단
- Microsoft 및 Google 관리 콘솔에서 "관리자 승인 필요" 설정 활성화
- 불필요한 OAuth 앱은 기본적으로 차단
🔹 ✅ 3. 다단계 인증(MFA) 활성화
- OAuth 앱이 불법적인 접근을 시도하더라도 MFA로 추가 보호 가능
- FIDO2 보안 키 또는 OTP 기반 인증 적용
🔹 ✅ 4. 피싱 탐지 및 훈련 강화
- OAuth 요청을 포함한 피싱 이메일 경고
- 직원 및 개발자들에게 위장된 OAuth 앱의 위험성 교육
🔹 ✅ 5. GitHub 및 클라우드 보안 강화
- GitHub, AWS, Azure 등의 클라우드 환경에서 불필요한 OAuth 권한 제한
- personal access token (PAT) 대신 단기 인증 토큰 사용
- GitHub 리포지토리에 대한 이상 징후 감지 및 알림 활성화
📢 5. 결론: OAuth 공격은 계속 진화 중!
🚨 이번 Adobe, DocuSign, GitHub 관련 OAuth 공격은 기존 방식과는 다른 접근을 시도하고 있습니다.
특히 OAuth 앱을 활용한 악성 웹사이트 리디렉션, GitHub 리포지토리 탈취 시도 등
새로운 방식의 위협이 지속적으로 증가하고 있습니다.
✅ 지금 OAuth 앱 접근 권한을 점검하세요!
✅ GitHub 및 클라우드 보안 정책을 강화하세요!
✅ 피싱 및 OAuth 기반 공격을 예방하기 위한 교육을 진행하세요!
💬 여러분의 기업과 계정은 안전한가요? 지금 바로 OAuth 보안 점검을 실행하세요! 🛡️
📢 추가 질문이나 의견이 있다면 댓글로 남겨주세요! 😊
'CyberSecurity > Security🔐' 카테고리의 다른 글
| 🔐 CRYSTALS-KYBER: 양자 컴퓨터 시대를 대비하는 차세대 암호화 알고리즘 (2) | 2025.03.18 |
|---|---|
| 🚀 Cloudflare, 양자 내성 암호화(Post-Quantum Encryption)로 보안 강화! (0) | 2025.03.18 |
| 🚨 Apache Tomcat 취약점 CVE-2025-24813, 실제 공격 진행 중! (1) | 2025.03.18 |
| 🚨 포티넷 취약점 악용, SuperBlack 랜섬웨어 확산! (0) | 2025.03.18 |
| 🔓 블랙 바스타 랜섬웨어, 탈취한 계정으로 기업 네트워크 침투! (1) | 2025.03.18 |