🦈 MFA도 무용지물? 'SessionShark' 피싱 툴킷의 위협

요즘 이메일 로그인할 때 "문자로 온 인증번호 6자리" 한 번쯤은 받아보셨죠?
이처럼 이중 인증(MFA)은 우리의 계정을 지키는 중요한 보안장치입니다.
하지만 최근 보안 업계에서는 그 MFA를 무력화하는 피싱 툴킷이 등장해 큰 파장을 일으키고 있어요.

그 이름은 바로, SessionShark 0365 2FA/MFA 🦈
Microsoft 365를 겨냥해 MFA를 우회할 수 있는 피싱 서비스형 공격도구(PhaaS)입니다.

---

🎭 ‘교육용입니다’라는 위선

SessionShark는 마치 무해한 도구처럼 포장되어 있어요.
광고 문구에는 이런 말이 포함돼 있죠:

“본 서비스는 교육적 목적과 윤리적 해킹에만 사용됩니다.”

하지만 정작 기능은?

• MFA 인증 우회
• 세션 쿠키 탈취
• Office 365 로그인 페이지 위장
• 즉시 세션 탈취 및 로그인 정보 수집
• Cloudflare 우회 지원
• 텔레그램 고객지원 채널 운영

이게 교육 목적이라고요? 🤔
사실상, 완성도 높은 해킹툴이라는 것을 숨기지 못하고 있습니다.

---

🧠 어떻게 작동하나요?

이 피싱 도구는 AiTM(Adversary-in-the-Middle) 공격 방식을 사용합니다.
즉, 피해자가 로그인 정보를 입력할 때 중간에 공격자가 끼어들어,

• 로그인 ID, 비밀번호뿐만 아니라
• 세션 쿠키(Session Cookie)까지 가로채게 됩니다.

👉 이 세션 쿠키가 중요해요!
공격자는 이 쿠키만 있으면 MFA 인증 없이도 바로 계정에 접속할 수 있거든요.

쉽게 말해, 문 열쇠는 바꿔놨지만 창문이 열려있는 셈입니다. 

---

🧪 "누구나 쓸 수 있다"는 게 더 무서운 이유

SessionShark는 단순한 툴킷이 아닙니다.
구독 기반 모델, 자동화된 설치 가이드, 고객지원 텔레그램까지 완비된 서비스예요.

기능 구성도 기업형:

• 🛡️ 안티봇 기능으로 보안 탐지 회피
• 🖥️ 가짜 Office 365 로그인 사이트 자동 생성
• 📩 세션 및 쿠키 실시간 수집 기능
• 🧾 사용자 정의 스크립트 및 HTTP 헤더 설정
• 🧊 Cloudflare 연동으로 IP 추적 회피

🔎 쉽게 말하면, 초보 해커도 전문가처럼 공격할 수 있게 도와주는 플랫폼입니다.

---

🌍 사이버 범죄의 상업화

이런 피싱 키트는 단순 해킹을 넘어서 "상품"처럼 팔리고" 있습니다.
그 배경에는 사이버 범죄의 SaaS화가 있어요:

• 랜섬웨어가 RaaS(Ransomware-as-a-Service)로 변화하듯,
• 피싱도 PhaaS(Phishing-as-a-Service)로 진화 중.

마치 보안 회사처럼 운영하며,

• 라이선스 제공
• 고객지원
• 기능 업데이트
• "서비스 약관"까지 운영합니다.

(참고로 SessionShark의 약관에는 "악의적 사용시 계정 정지. 환불 불가"라는 조항도 있어요.🙃)

---

🔐 기업과 사용자가 해야 할 보안 조치

이제 단순히 "비밀번호를 어렵게 만들자"는 방식으로는 부족합니다.
다음과 같은 방어 전략이 필요해요:

1. 피싱 방지 훈련
   👉 직원들에게 최신 피싱 수법에 대한 실전 대응 교육 실시
2. 세션 관리 강화
   👉 로그인 세션을 짧게 유지하고, 의심 시 강제 로그아웃
3. MFA는 FIDO2 기반으로 전환
   👉 SMS나 이메일 기반 MFA는 쉽게 털릴 수 있음
4. Cloudflare 기반 피싱 사이트 필터링 적용
5. 텔레그램 기반 범죄 정보도 위협 인텔리전스로 추적
   👉 커뮤니티 기반 신고/분석 체계 필요

---

📌 결론

SessionShark는 단지 하나의 툴킷이 아니라,
"누구나 해커가 될 수 있는 도구"를 제공하는 산업적 위협입니다.

특히 Microsoft 365 같은 기업용 플랫폼에 접근하는 데 최적화되어 있어
중소기업, 교육기관, 공공기관 등에서 심각한 정보 유출로 이어질 수 있어요.

"윤리적 해킹용입니다"라는 구실에 속지 말고,
이러한 피싱 도구가 실제로 얼마나 위험한지 경각심을 가져야 할 때입니다.