마이크로소프트, 월급 통장 노리는 ‘급여 해적’ 포착… 피싱 공격으로 급여 지급 정보 변경 시도

마이크로소프트 위협 인텔리전스(Microsoft Threat Intelligence)의 발표를 따르면 최근 'Storm-2657'이라는 사이버 범죄 집단이 클라우드 기반 인사관리(HR) 시스템을 노리는 대규모 공격을 진행하고 있다고 밝혔다.

이들은 “직원들의 월급날을 노려, 급여가 입금되는 계좌를 자신들이 만든 가짜 계좌로 바꿔치는” 수법을 통해 피해자의 월급을 통째로 가로챈다. 실제 미국에서는 이미 여러 대학 교직원들이 피해를 입었으며, 2025년 3월부터 현재까지 3개 대학의 11개 계정이 해킹당해 25개 대학 소속 6,000여 명에게 악성 이메일이 발송되는 2차 피해로 이어졌다. 업계에서는 이를 급여 해적(Payroll Pirates)' 공격이라 부르며, 과거에는 개인 정보나 기업 기밀 탈취에 주력하던 해커들이 이제는 직접적인 금전 탈취로 공격 방식을 전환했다는 점에서 우려를 표하고 있다.

한국 기업도 안전지대는 아니다. 현재까지 공격은 주로 미국 대학을 중심으로 이뤄졌지만, 전문가들은 이 공격 방식이 곧 일반 기업으로 확산될 것으로 경고한다. 특히 우려되는 점은 오늘날 점점 더 많은 국내 기업들이 SaaS 방식 인사관리(HR) 시스템을 채택하는 추세라는 점이다. 즉, 과거에는 회사 컴퓨터에 직접 설치해 사용하던 급여관리 프로그램을 이제는 웹브라우저로 접속해 사용하기에, 인터넷을 통한 피싱 공격에 자주 노출될 수밖에 없다. 또한 공격자들의 주요 표적은 직원 급여 관리 프로그램인 'Workday(워크데이)'이지만, 마이크로소프트는 직원 정보나 급여, 은행 계좌를 관리하는 모든 온라인 시스템이 같은 방식으로 공격받을 수 있다고 경고했다.

중요한 점은 해커들이 프로그램의 보안 허점 뿐 아닌 대신 직원들을 속이는 정교한 사기 수법인 사회공학기법을 사용했다는 점이다. 사회공학기법을 활용해 직원들의 심리와 실수를 이용하고, 정교하게 사기수법을 실현했다는 점에서, 보안 전문가들은 기술적 방어만으로는 한계가 있다고 지적한다.

1단계: 피싱 이메일로 시작
공격자들은 “대학 공식 문서 위장, 질병 관리 문자, 교직원 규정 위반 보고서 등”과 같은 내용으로 매우 정교한 피싱 이메일 통해 공격을 시작한다.
2단계: 가짜 로그인 페이지로 개인정보 탈취
공격자들은 가짜 로그인 페이지를 만들어 피해자가 입력하는 모든 정보를 가로챈다. 여기에는 비밀번호는 물론, 문자나 앱으로 받는 보안 인증번호까지 포함된다. 이 수법의 무서운 점은 피해자가 정상적으로 로그인하는 것처럼 보이지만, 실제로는 해커가 중간에서 모든 정보를 빼가는 중간자 공격(Adversary-in-the-Middle, AITM)이 이뤄진다. 마치 ATM기에 카드를 넣었는데, 누군가 옆에서 비밀번호와 보안카드 번호를 모두 몰래 적어가는 것과 같다.
3단계: 은밀한 급여 계좌 변경
일단 계정에 침입하면 공격자들은 경고 알람을 해제한 후, 직원의 급여 지급 설정을 수정하여 향후 급여가 공격자가 통제하는 계좌로 입금되도록 변경한다.