Microsoft, AI-enabled device code phishing 캠페인 분석 공개… 조직 계정 탈취 자동화 경고

Microsoft Defender Security Research는 2026년 4월 6일, OAuth device code authentication flow를 악용해 조직 계정을 대규모로 탈취하는 phishing campaign을 공개했다. Microsoft에 따르면 이번 사례는 예전 device code 공격과 달리 AI-driven infrastructure와 automation이 end-to-end로 결합돼, 짧은 유효시간 안에 사용자가 flow를 완료할 가능성을 높였다는 점이 특징이다.

Microsoft 설명에 따르면 공격은 document access, e-signing, voicemail 같은 social engineering lure에서 시작된다. 사용자가 링크를 누르면 악성 페이지가 실시간으로 live device code를 생성하고, 피해자를 공식 microsoft.com/devicelogin 페이지로 보내며, 때로는 입력 마찰을 줄이기 위해 code를 clipboard에 자동 복사한다. 사용자가 인증을 완료하면 공격자는 password를 직접 훔치지 않고도 live access token을 얻게 된다. 합법적인 device code flow 자체가 악용된 결과다.

• victim 클릭 이후에만 15분 카운트가 시작되도록 설계된 dynamic device code generation
• Railway.com 같은 서비스 위에 짧게 생성·폐기되는 polling node를 대량 운용해 scale 확보
• device code abuse를 서비스화한 EvilTokens phishing-as-a-service 흐름과의 정합성

이 연구가 중요한 이유는 공격자가 더 이상 가짜 로그인 페이지 복제만으로 승부하지 않는다는 점을 보여주기 때문이다. phishing page, token polling backend, clipboard trick, post-authentication activity가 하나의 coordinated system처럼 작동한다. 최종 sign-in이 실제 Microsoft URL에서 이뤄질 수 있기 때문에, 단순한 domain block만으로는 방어가 충분하지 않다.

Microsoft의 권고는 비교적 명확하다. 가능하면 device code flow를 차단하고, 꼭 필요하면 Conditional Access로 제한하며, 사용자가 어떤 app에 권한을 주는지 확인하도록 교육해야 한다. 또 abuse가 의심되면 refresh token을 빠르게 revoke하고 re-authentication을 강제해야 한다. 기업 입장에서는 편의를 위해 만든 identity flow가 automation에 의해 고가치 공격 표면으로 바뀔 수 있다는 점을 다시 확인시켜 주는 사례다.