2026년 2월 28일 오후 2시 30분(EST)에 게시됨
Gavin은 기술 설명, 보안, 인터넷, 스트리밍 및 엔터테인먼트 부문의 부문 책임자이며, 전직 정말 유용한 팟캐스트의 공동 진행자이자 빈번한 제품 리뷰어입니다. 그는 Devon 언덕에서 약탈한 현대 작문 학위를 보유하고 있으며 10년 이상의 전문 작문 경험을 보유하고 있으며 그의 작품은 How-To Geek, Expert Reviews, Trusted Reviews, Online Tech Tips 및 Help Desk Geek 등에 게재되었습니다. Gavin은 CES, IFA, MWC 및 기타 기술 무역 박람회에 참석하여 현장에서 직접 보고하며 그 과정에서 수십만 단계를 거쳤습니다. 그는 자신이 기억하고 있는 것보다 더 많은 헤드폰, 이어버드, 기계식 키보드를 검토했으며, 많은 양의 차, 보드 게임, 축구를 즐깁니다.
대부분의 온라인 사기는 여전히 한 가지 목표, 즉 비밀번호를 도용하는 데 중점을 두고 있습니다. 우리는 가짜 로그인 페이지, 의심스러운 링크, 계정 자격 증명 "확인"을 요청하는 긴급 이메일을 감시하도록 교육받았습니다.
그러나 새로운 Microsoft 계정 공격은 다르게 작동합니다. 피해자는 Microsoft의 실제 웹사이트에 로그인하고 실제 보안 검사를 사용하며 다단계 인증을 성공적으로 완료하지만 공격자는 여전히 액세스 권한을 얻습니다.
기기 코드 피싱으로 알려진 이 기술 , 귀하의 비밀번호를 전혀 도용하지 않습니다. 대신 설계된 대로 정확하게 Microsoft의 자체 인증 시스템을 사용하여 사용자가 직접 액세스 권한을 부여하도록 속입니다.
장치 코드 로그인이 정말 유용해요
아마 이전에도 여러 번 사용해 보셨을 겁니다
Microsoft는 다른 주요 기술 회사와 마찬가지로 기기 인증 흐름이라는 것을 지원합니다. , 이는 일반적으로 장치 코드 로그인으로도 알려져 있습니다. 그러나 그보다 더 일반적인 것은 전체 로그인 페이지 대신 로그인 프로세스를 완료하기 위해 일치하거나 입력해야 하는 일치하는 로그인 코드가 기기 전체에 표시되는 순간입니다.
특히 제한된 사용 장치에 연결할 때 전체 로그인 페이지나 인스턴스를 쉽게 표시할 수 없는 장치에서 매우 편리합니다. 예를 들어, 스마트 TV에서 또는 호텔 방에서 TV에 연결할 때 이러한 문제가 발생했을 수 있습니다. 둘 다 대표적인 예입니다.
대부분의 경우 이 프로세스는 완전히 안전하며 프로세스에 관한 어떤 것도 위험하지 않습니다. 하지만 특정 공격으로 인해 모든 것이 달라집니다.
관련
이 인기 있는 보안 방법은 실제로 해커를 막지 못합니다
어디에서나 사용되지만 항상 제 역할을 하는 것은 아닙니다.
적법한 기능이 귀하에게 불리하게 사용될 수 있습니다
일반적인 가정을 이용합니다
장치 코드 로그인은 매우 유용합니다. 그러나 장치 로그인 프로세스에서는 코드를 입력한 사람이 요청을 시작한 것으로 자연스럽게 가정하기 때문에 악용될 수 있습니다. 프로세스가 부분적으로 중단되는 부분이 바로 여기입니다.
공격자가 귀하의 이메일 주소나 알려진 다른 연락처 데이터를 알고 있는 경우 자신의 장치에서 장치 로그인 요청을 시작하여 고유한 세션을 시작할 수 있습니다. 그런 다음 Microsoft(및 기타 기술 회사)는 해당 세션에 연결된 합법적인 장치 코드를 생성합니다.
여기가 까다로워집니다. 공격자는 직접 사용하려고 시도하는 대신 다른 프로세스로 위장하여 사용자에게 직접 코드를 보낼 수 있으며, 그 중 다수는 익숙한 피싱 전술을 고려합니다.
- 의심스러운 활동을 주장하는 보안 경고
- 긴급 Microsoft 365 알림
- Teams의 메시지 또는 IT 지원 메시지
- 비즈니스 또는 기타 이메일 요청
요청을 통해 공식 Microsoft 로그인 페이지를 방문하고 제공된 코드를 입력하여 계정을 "보호"하거나 "확인"할 수 있습니다. 여기서 공격의 다음 단계가 시작됩니다. 가짜 로그인 페이지나 교묘하게 설계된 피싱 포털을 방문하는 것이 아닙니다. 이는 실제 Microsoft 로그인 페이지이고 인증 확인은 실제입니다.
평소와 같이 장치 코드 로그인을 제공하고 요청을 승인하면 계정이 보호된 것처럼 느껴집니다. 하지만 실제로는 공격자를 인증하고 그 과정에서 계정에 키를 넘겨준 것입니다.
이 모든 과정에서 귀하의 비밀번호는 노출되지 않으며, 귀하께서 직접 계정을 넘겨주신 것입니다.
디바이스 코드 로그인 사기가 잘 일어나는 이유
모든 것은 모방에 관한 것입니다
출처:Microsoft 장치 코드 로그인 사기의 가장 큰 문제는 대부분의 전통적인 피싱 사기 전술을 우회한다는 것입니다. 피싱에는 일반적으로 복제된 로그인 페이지, 유사한 로그인 페이지 또는 자격 증명을 가로채는 시스템이 포함됩니다.
반면에 장치 코드 로그인 피싱 사기는 이 모든 것을 건너뛰고 모든 것이 합법적인 것으로 보이게 합니다. 글쎄요, "상위"로 표시하지도 않고 Microsoft 인증 프로세스와 상호 작용할 때 실제로 그렇습니다. 전체 사기는 모든 프로세스가 제대로 작동하기 때문에 작동합니다. 당신의 생각이 약간 바뀌었을 뿐입니다.
그렇다면 공격자는 귀하의 액세스 토큰으로 무엇을 얻을 수 있습니까?
공격자를 인증하는 것은 분명히 나쁜 상황입니다
인증이 완료되면 Microsoft는 로그인이 이미 확인되었음을 임시로 증명하는 역할을 하는 액세스 토큰을 발행합니다. 기능적으로 시스템은 소유자가 이미 자신의 신원을 입증했다고 가정하므로 자격 증명을 반복적으로 요청하지 않고도 액세스를 허용합니다.
그런 다음 공격자가 무엇을 손에 넣을 수 있는지에 대한 대답은 실제로 대상 계정에 따라 다릅니다. 예를 들어, 귀하의 Outlook 계정이 표적이 된 경우 공격자는 귀하의 이메일에 액세스할 수 있으며, 더 나아가 해당 주소와 관련된 다른 서비스(비밀번호 재설정, 2FA 코드 액세스 등)에도 액세스할 수 있습니다.
그러나 귀하의 Teams 로그인이 표적이 되면 공격자가 귀하 회사의 Teams 계정 내부로 들어가 거기에 있는 데이터에 액세스할 수 있습니다.
관련
그렇다면 디바이스 코드 피싱으로부터 어떻게 보호하나요?
지속적이고 끝없는 경계
궁극적으로 코드 장치 로그인 공격에 대한 최선의 방어는 장치 로그인이 실제로 어떻게 작동하는지 실제로 이해하려고 노력하는 것입니다. 기기 로그인 프로세스에 대한 기본 수준의 이해만으로도 이러한 피싱 공격으로부터 보호받을 수 있습니다.
즉, 장치 로그인 코드는 귀하가 직접 다른 장치에서 로그인을 시작할 때만 나타나야 합니다. Microsoft는 2FA 코드 확인 등을 위해 암호를 묻는 메시지를 절대 보내지 않는 것과 유사하게 계정을 보호하기 위해 무작위로 코드를 보내지 않습니다.
이것은 단지 Microsoft만이 아닙니다. 기술이 있든 없든 어떤 회사도 귀하에게 이 정보를 요청해서는 안 됩니다. 비공개이며 나만을 위한 것입니다.
대부분의 경우 피싱 사기를 발견하기 위한 일반적인 보안 규칙을 따를 수 있습니다.
- 이메일, 채팅, 문자 메시지를 통해 전송된 로그인 코드를 입력하지 마세요.
- 예상치 못한 인증 요청은 비밀번호 요청을 처리하는 것과 동일한 방식으로 처리합니다.
- 트리거하지 않은 MFA 메시지가 나타나면 즉시 거부하세요.
- 익숙하지 않은 애플리케이션이나 세션에 대한 Microsoft 로그인 활동을 정기적으로 검토합니다.
인증 코드는 확인 단계가 아닌 권한임을 기억하세요. 귀하가 프로세스를 시작하지 않았다면 다른 사람이 시작한 것입니다.