마이크로소프트는 워크데이(Workday)와 기타 클라우드 기반 HR 서비스에서 직원 계정을 탈취해 직원 급여 진동 계좌를 공격자가 관리하는 계좌로 무단 변경하는 페이롤 파이러츠(payroll pirate) 그러니까 급여 해적이라는 사이버 공격이 활발해지고 있다고 경고했다.
마이크로소프트에 따르면 급여 해적이라 불리는 사이버 공격은 피싱 메일을 통해 피해자 HR 서비스 계정에 접근해 계정 인증 정보를 훔친다. 공격자는 중간자 공격 방식 전술을 사용해 피해자가 사용하는 다요소 인증(MFA) 코드도 탈취한다고 한다.
공격자는 훔친 인증 정보를 사용해 직원 개인정보를 관리하는 HR 서비스에 로그인한다. 그리고 직원이 급여 진동처로 지정한 은행 계좌를 공격자가 관리하는 계좌로 변경한다. 이를 통해 계정을 탈취당한 직원의 급여가 공격자에게 지급되는 것이다.
예를 들어 워크데이의 경우 급여 진동처인 은행 계좌를 바꾸면 이를 확인하는 메일이 발송된다. 공격자는 이 메시지가 발송되는 걸 막기 위해 피해자 메일 주소 수신함에서 워크데이로부터의 메시지가 표시되지 않도록 필터 등을 생성한다고 한다.
마이크로소프트는 위협 행위자는 여러 대학 계정을 표적으로 진짜처럼 보이는 피싱 메일을 사용해 인증 정보를 입수했다며 2025년 3월 이후 3개 대학에서 계정 11건이 침해됐고 25개 대학에서 메일 계정 6,000건에 피싱 메일이 발송된 걸 확인했다고 보고했다.
급여 해적에 대한 일련의 과정을 보면 공격자(Storm-2657)는 피싱 메일로 표적에 접촉하고 표적이 메일에 첨부된 URL을 클릭해 위장 사이트에서 HR 서비스 계정 인증 정보를 입력할 경우 이를 탈취한다. 이 인증 정보를 사용해 실제 HR 서비스에 로그인하고 급여 진동 계좌를 공격자가 관리하는 것으로 변경해 급여를 훔치는 것이다.
공격 대상에게 발송되는 피싱 메일 내용은 대학 캠퍼스 내에서 최근 감지된 감염병에 노출되었을 가능성이 있다거나 직원 복리후생에 최근 변경 사항이 있었다는 것 등이다. 메일에는 감염병 노출 여부를 확인하기 위한 페이지나 변경된 복리후생을 확인하기 위한 페이지 URL이 첨부되어 있으며 이에 접속해 자신의 HR 서비스 계정 인증 정보를 입력하면 정보가 도난당하는 것이다.
한편 FIDO 준수 MFA를 도입해 이런 공격을 방지할 수 있어 FIDO 준수 MFA를 도입하는 것에 대한 중요성을 부각시키고 있다고 보도했다.
마이크로소프트는 워크데이 등 HR 서비스로부터의 보안 관련 메일을 차단할 가능성이 있는 메일 필터링 규칙이 설정되어 있지 않은지를 정기적으로 확인할 걸 권장하고 있다. 관련 내용은 이곳에서 확인할 수 있다.
![[AI서머리] ‘2025 제주권 로컬페스타’ 성료‧한국여성벤처협회, 정부조달기술진흥협회 맞손](https://startuprecipe.co.kr/wp-content/uploads/2025/10/251014_jeju_0000457-75x75.jpg)
