Microsoft & Cloudflare, RaccoonO365 피싱 서비스 무너뜨리다! 🚫🦝

사이버 범죄 세계에서는 요즘 “서비스형 피싱(PhaaS, Phishing-as-a-Service)”이라는 말이 유행처럼 퍼지고 있어요.
쉽게 말해, 기술력이 없어도 월정액만 내면 전문 해커처럼 피싱 공격을 할 수 있게 도와주는 서비스죠. 😱

이번에 Microsoft와 Cloudflare가 손잡고 무너뜨린 RaccoonO365는 바로 그런 대표적인 피싱 서비스였습니다.
이름만 들으면 귀여운 너구리 같지만, 실제로는 전 세계 수천 개 조직을 공격한 악명 높은 피싱 툴이에요.

---

🦝 RaccoonO365란 무엇일까?

RaccoonO365는 Microsoft가 추적한 Storm-2246 그룹이 운영하는 PhaaS 플랫폼이에요.

• 목표: Microsoft 365 사용자 이름과 비밀번호 탈취
• 방식: Microsoft 공식 이메일을 흉내 낸 피싱 키트 제공
• 요금제: 30일·60일 단기권부터 연간 구독까지, 연 600달러(약 80만 원) 수준
• 옵션: 이메일 9,000개까지 자동 타깃팅, 스팸 발송, 보안 필터 우회, 서버 인프라 지원 등

마치 정식 소프트웨어 구독 서비스처럼, 심지어 고객 지원까지 제공했어요. 😡

흥미로운 건, 이 서비스가 Microsoft 계정을 훔치기 위해 Azure 같은 Microsoft 서비스 자체를 악용했다는 점이에요.

---

📈 얼마나 피해가 컸을까?

Microsoft에 따르면, 2024년 7월 이후 약 5,000개 Microsoft 계정이 뚫렸고, 공격 대상 국가는 무려 94개국에 달했습니다.

특히 심각한 건:

• 미국 내 2,300개 조직이 세금 관련 피싱 캠페인에서 공격당함 💸
• 미국 내 20개 이상의 헬스케어 기관이 타깃 🎯
  → 의료기관은 피싱 메일 한 통이 곧바로 랜섬웨어 공격으로 이어질 수 있어 환자 안전까지 위협받을 수 있어요.

범위가 워낙 넓다 보니, 단순한 계정 도난을 넘어 국가 기반 시설에도 영향을 줄 수 있는 수준이었죠.

---

📩 피싱 이메일의 교묘한 수법

Cloudflare의 분석에 따르면 RaccoonO365는 단순한 스팸 수준이 아니라 매우 정교한 사회공학 기법을 활용했습니다.

• 브랜드 사칭: DocuSign, SharePoint, Adobe, Maersk 등 잘 알려진 기업으로 위장
• 업무 관련 문서 위장: 계약서, 인사 문서, 정책 동의서, 세금 신고 문서, 인보이스 등
• 수신자 맞춤형: 심지어 메일과 첨부 파일 이름에 수신자의 이름까지 넣어 신뢰도를 높임

즉, “내 회사에서 보낸 것 같은 메일”처럼 보이게 만들어 사용자가 자연스럽게 클릭하도록 유도한 거죠. 😨

---

⚖️ Microsoft & Cloudflare의 반격

이 악성 서비스를 막기 위해 Microsoft와 Cloudflare는 법원 명령과 기술적 조치를 총동원했습니다.

1. 법적 조치 – 뉴욕 남부지방법원의 명령을 받아 338개 관련 도메인 압류
2. 범인 특정 – 운영자는 나이지리아 출신 Joshua Ogundipe, 암호화폐로 최소 10만 달러 수익을 챙긴 것으로 드러남
   • 조직적 구조: 개발 담당, 판매 담당, 고객 지원 담당까지 나뉜 ‘사이버 범죄 스타트업’ 형태
   • 결정적 실수: 범죄자들이 암호화폐 지갑 주소를 실수로 노출하면서 신원이 드러남
3. Cloudflare의 ‘러그풀 작전’ – 공격 인프라를 3일간 추적 후,
   • 모든 도메인 차단 🚫
   • 피싱 경고 페이지 삽입 ⚠️
   • 관련 워커 스크립트 종료 💻
   • 공격자 계정 정지 🔒

결과적으로 RaccoonO365의 핵심 운영 기반이 무너졌습니다.

---

🧩 왜 중요한 사건일까?

이번 사건은 단순히 피싱 사이트 몇 개 닫은 정도가 아니에요.
사이버 범죄 생태계의 비즈니스 모델 자체를 흔든 사건이었죠.

• 피싱이 서비스화(PhaaS) → 누구나 쉽게 범죄자가 될 수 있는 환경 확산
• 공격의 산업화 → 범죄 조직이 회사처럼 역할 분담하며 운영
• AI까지 활용 → “RaccoonO365 AI-MailCheck”라는 신규 AI 기능 홍보까지 했음

즉, 앞으로의 사이버 공격은 점점 더 ‘합법적인 SaaS 서비스처럼’ 보일 가능성이 큽니다.

---

🛡️ 우리가 배워야 할 교훈

1. 피싱은 여전히 가장 강력한 공격 벡터 – 아무리 기술이 발전해도 사람을 속이는 게 가장 효과적임
2. 서비스형 범죄(PhaaS)는 계속 증가 – 기술력이 없어도 돈만 있으면 범죄 가능
3. 보안 커뮤니티의 협력이 중요 – Microsoft, Cloudflare, 법집행기관이 함께 대응했기에 성공적으로 차단할 수 있었음

---

🐻 마무리

RaccoonO365 사건은 “피싱이 얼마나 산업화되고 있는가”를 잘 보여주는 사례입니다.
SaaS처럼 구독료만 내면 누구나 해커가 될 수 있는 시대… 참 무섭죠.
하지만 동시에, 이번처럼 글로벌 보안 기업과 법집행 기관이 협력한다면 범죄 생태계를 뒤흔들 수 있다는 희망도 있습니다.

앞으로도 우리 개개인은 의심스러운 이메일, 특히 계정 로그인·계약서·세금 관련 첨부 파일은 반드시 조심해야 합니다.
피싱은 여전히 사이버 공격의 ‘넘버원 무기’니까요. 🚨