‘코이 시큐리티’, MS 아웃룩 추가 기능 ‘어그리투’ 악용 사례 포착

[보안뉴스 원병철 기자] MS 아웃룩(MS Outlook) 추가 기능을 악용한 최초의 악성 사례가 포착됐다. 보안 업체 코이 시큐리티(Koi Security)에 따르면 ‘어그리투 스틸’(AgreeToSteal)로 명명된 이번 공격으로 약 4000개 이상의 MS 계정 정보가 탈취된 것으로 드러났다.


공격 대상이 된 어그리투(AgreeTo)는 여러 캘린더를 연결해 주는 정상적인 일정 관리 도구였으나 2022년 이후 개발자가 관리를 포기한 상태였다.

공격자는 개발자가 버린 버셀(Vercel) 도메인을 가로채어, 해당 URL을 악성 피싱 페이지로 교체했다.

아웃룩 추가 기능은 매니페스트(Manifest) 파일에 적힌 URL의 콘텐츠를 실시간으로 불러오기 때문에, 도메인만 확보하면 공격이 가능하다. MS 스토어는 최초 등록 시에만 검사를 진행할 뿐, 이후 URL이 제공하는 콘텐츠를 자세히 모니터링하지 않는 맹점이 있다.

공격자는 가짜 로그인 창을 띄워 비밀번호를 훔친 뒤, 텔레그램 봇 API를 통해 정보를 은밀히 유출했다. 특히 해당 앱은 이메일 읽기 및 쓰기 권한인 ‘ReadWriteItem’ 권한을 갖고 있어 메일함 전체가 털릴 수 있는 상황이었다.

코이 시큐리티 연구팀은 MS가 서명된 매니페스트만 신뢰할 것이 아니라, 실시간 콘텐츠 변화도 자세히 재검토해야 한다고 강조했다. 또한 도메인 소유권이 바뀌거나 오랫동안 업데이트가 없는 앱은 자동으로 보안 경고를 띄우는 메커니즘이 필요하다고 지적했다.

이러한 유형의 공격은 아웃룩뿐만 아니라 VS Code 확장 프로그램이나 npm 패키지 등에서도 계속 나타나는 고질적인 문제다.

현재 MS 마켓플레이스에서 AgreeTo는 삭제된 상태다.

[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>