MS 오피스365 피싱 이메일 공격…가짜 앱에서 접속 유도
마이크로소프트 보안팀에 따르면, 오피스365 고객들에게 배달된 수백통의 이메일을 믿고 업그레이드 시켜준다는 가짜 앱에 접속하게 되면 고객들의 이메일 계정 등에 접근할 수 있는 오스(OAuth) 권한을 해커들에게 빼앗길 수 있다.
해커들은 뺏은 권한을 통해 파일을 읽거나 쓰고 캘린더에 접근하는 등 다양한 능력을 갖게 된다. 또한 이 오스 권한을 통해 타회사인 구글, 트위터, 페이스북, 클라우드서비스 업체에 접근이 가능해 사용자가 모르는 불법 활동에 악용될 수 있다.
일부 사용자들은 피싱 이메일에 속아 이미 마이크로소프트의 클라우드 서비스인 '애저'에서 앱이 비활성화되는 등의 피해를 본 것으로 알려졌다.
장병희 기자