MFA 무력화하는 Device Code 피싱, AI 기반의 정교한 공격 체인 분석

Context

OAuth 2.0 Device Code Flow의 세션 바인딩 결여를 이용한 계정 탈취 공격 발생. 스마트 TV나 IoT 기기용 인증 방식을 악용하여 MFA를 우회하는 구조. AI와 자동화 도구를 결합해 대규모 조직을 대상으로 수행하는 고도화된 캠페인.

Technical Solution

• GetCredentialType API를 호출하여 타겟 이메일 주소의 활성화 상태를 사전에 확인하는 정찰 단계 수행
• AI를 활용해 타겟의 역할과 직무에 최적화된 초개인화 피싱 메일 생성 및 발송
• Railway, Cloudflare Workers, AWS Lambda 등 신뢰받는 Serverless 플랫폼의 도메인을 이용한 다단계 리다이렉트 설계로 보안 스캐너 우회
• 정적 코드가 아닌 최종 피싱 페이지 진입 시점에 실시간으로 코드를 생성하는 Dynamic Device Code 전략 적용
• 탈취한 Access Token을 통해 MFA를 우회하고 Microsoft 365 애플리케이션에 무단 접속
• 침투 후 10분 이내 신규 기기 등록을 통해 Primary Refresh Token(PRT)을 생성하여 장기적인 권한 유지

Impact

• 24시간마다 10~15개의 서로 다른 캠페인 지속 발생
• 매일 수백 개의 조직 계정 침해 발생
• Device Code 유효 시간 15분 제한을 Dynamic Generation 방식으로 극복
• 침투 후 10분 이내 PRT 생성 및 권한 확보

Key Takeaway

사용자 컨텍스트와 분리된 외부 인증 플로우는 MFA 환경에서도 심각한 보안 허점이 될 수 있음. 편의성을 위한 인증 방식 도입 시 세션 바인딩 강화 및 엄격한 플로우 제한 설정이 필수적임.