코인베이스·마이크로소프트 공조…‘MFA 우회’ 피싱 플랫폼 타이쿤 2FA 인프라 해체

코인베이스 등 주요 테크 기업과 수사기관이 손잡고 ‘타이쿤 2FA(Tycoon 2FA)’의 핵심 인프라를 해체했다. 다중인증(MFA)을 우회하는 피싱 도구를 ‘서비스형 피싱(Phishing-as-a-Service)’ 형태로 제공해온 대형 플랫폼이 타격을 입으면서, 계정 탈취와 후속 금융사기 확산을 막는 데 의미 있는 전환점이 될지 주목된다.

유로폴은 5일(현지시간) 마이크로소프트가 타이쿤 2FA와 연계된 도메인 330개를 차단하는 데 협력했다고 밝혔다. 수사기관은 추가로 핵심 인프라도 압수해 플랫폼 운영에 필요한 기반을 끊어냈다. 이번 공조에는 가상자산 거래소 코인베이스도 참여했다.

코인베이스는 타이쿤 2FA를 지탱하던 자금 흐름을 추적하는 ‘금융 추적’ 지원이 작전의 한 축이었다고 설명했다. 블록체인 상 거래를 분석해 타이쿤 2FA에 자금을 댄 트랜잭션을 좇았고, 그 과정에서 피싱 플랫폼의 ‘관리자’로 지목되는 인물과 구매자들을 식별하는 데 도움이 됐다는 것이다. 코인베이스는 “타이쿤의 핵심 인프라를 오프라인으로 내리면 자격 증명(아이디·비밀번호) 탈취로 이어지는 주요 파이프라인을 차단할 수 있고, 범죄자들이 재구축·재도구화에 나서면서 더 큰 위험을 감수하게 된다”고 말했다.

‘MFA 우회’가 가능했던 이유…세션 토큰 탈취

코인베이스에 따르면 타이쿤 2FA의 툴킷은 합법적인 웹사이트를 정교하게 모방한 ‘가짜 랜딩 페이지’를 만들어 이용자 자격 증명을 빼내는 방식이 핵심이다. 여기에 더해 세션 쿠키와 토큰을 가로채 다중인증(MFA) 보호를 우회할 수 있도록 설계됐다.

일반적으로 MFA로 로그인하면 시스템은 ‘세션 토큰’을 발급한다. 이 토큰은 인증이 완료됐다는 증표로 브라우저에 저장되는데, 공격자가 이를 탈취하면 추가 인증 단계를 건너뛰고도 정상 사용자처럼 접근할 수 있다. 코인베이스는 “정교한 유인(미끼)과 세션 토큰 탈취가 결합되면 피싱은 계정 탈취 같은 더 큰 범죄로 이어지는 ‘믿을 만한 진입로’가 된다”며 기업 이메일 탈취(BEC), 인보이스(청구서) 사기, 추가 사회공학 공격 등으로 확장될 수 있다고 경고했다.

마이크로소프트 “2025년 중반, 차단한 피싱의 62%가 타이쿤”

타이쿤 2FA는 최소 2023년부터 활동해온 것으로 파악된다. 마이크로소프트 디지털범죄대응팀(DCU)에서 법무를 맡고 있는 스티븐 마사다(Steven Masada) 부법률고문은 “2025년 중반 기준 마이크로소프트가 차단한 피싱 시도의 62%가 타이쿤과 관련돼 있었고, 한 달에만 3,000만 통이 넘는 이메일이 탐지됐다”고 밝혔다. 그는 “기술적 진입장벽을 낮춰 전문성이 낮은 범죄자도 정교한 사칭 캠페인을 운영하게 만들었다는 점에서, 타이쿤 2FA는 전 세계 최대 규모 피싱 작전 중 하나로 자리 잡았다”고 평가했다.

피해는 특정 업종에 국한되지 않았다. 마사다는 의료부터 교육까지 여러 산업이 타이쿤 2FA의 공격 대상이 됐고, 그 결과 청구서 수취 계좌가 바뀌는 등 ‘지불 경로’가 왜곡되거나 민감정보 탈취, 네트워크 잠금, 환자 진료 차질 같은 실질적 피해가 발생했다고 지적했다. 그는 “인프라를 내리면 계정 탈취로 가는 주요 통로를 끊고, 데이터 탈취·랜섬웨어·기업 이메일 탈취(BEC)·금융사기 같은 후속 공격으로부터 개인과 조직을 보호하는 데 도움이 된다”고 말했다.

한편 피싱은 크립토 범죄에서도 핵심 위협으로 꼽힌다. 블록체인 보안업체 서틱은 피싱 사기가 2025년 두 번째로 큰 위협으로 분류됐으며, 248건의 사건에서 크립토 투자자 피해가 7억2,200만 달러(약 1조 591억 원)에 달했다고 집계했다. 또 펙실드 측은 2026년에도 피싱이 ‘지속적인 위협’으로 남아 있다고 지적했다.

업계에서는 이번 타이쿤 2FA 인프라 해체가 피싱 생태계 전반을 곧바로 무너뜨리기보다는, 범죄자들의 운영 비용과 위험을 끌어올리는 효과에 초점이 맞춰져 있다고 본다. 다만 MFA 우회형 피싱이 실제로 대규모 계정 탈취와 금융사기로 이어져 온 만큼, 유사 ‘서비스형 피싱’ 플랫폼을 겨냥한 추가 공조가 이어질지 시장의 관심이 쏠린다.

기사요약 by TokenPost.ai

🔎 시장 해석

- 유로폴·마이크로소프트·코인베이스 공조로 ‘타이쿤 2FA’ 도메인 330개 차단 및 핵심 인프라 압수 → 서비스형 피싱(PhaaS) 생태계에 직접 타격

- 단기적으로 피싱이 사라지기보다, 범죄자들의 재구축 비용·운영 리스크를 높여 공격 빈도/규모를 둔화시키는 효과에 초점

- 크립토 시장에서도 피싱 피해가 대형 위협(서틱 집계 2025년 248건, 약 7억2,200만 달러 피해)인 만큼, 거래소의 ‘온체인 금융추적’ 역할이 커지는 흐름

💡 전략 포인트

- 개인: 링크 클릭 대신 공식 URL 직접 접속, 비밀번호 관리자 사용(가짜 도메인 자동입력 방지), 가능하면 FIDO 보안키/패스키 등 ‘피싱 저항형 인증’으로 전환

- 기업: MFA만으로 충분하다는 가정 금지(세션 토큰 탈취 대비) → 조건부 접근(기기/지역/위험도), 세션 보호(토큰 바인딩/재인증), 메일 보안·직원 훈련·BEC 대응 프로세스 강화

- 거래소/웹서비스: 계정 보호는 ‘로그인’이 아니라 ‘세션’까지 포함해야 함 → 이상 세션 탐지, 동시 로그인/지리적 이동 탐지, 출금·권한변경 시 재인증 의무화

📘 용어정리

- MFA(다중인증): 비밀번호 외에 추가 인증(앱 푸시, OTP, 생체인증 등)으로 계정을 보호하는 방식

- 세션 토큰/쿠키: 로그인 성공 후 ‘인증 완료’를 증명하는 값(브라우저에 저장)으로, 탈취되면 MFA를 거치지 않고도 접속이 가능해질 수 있음

- Phishing-as-a-Service(PhaaS, 서비스형 피싱): 피싱 페이지/도구/운영 패널을 패키지로 제공해 누구나 돈을 내고 공격을 수행하게 하는 범죄 서비스 모델

- BEC(기업 이메일 탈취): 기업 이메일 계정을 탈취해 거래처를 속이고 송금/청구서 계좌 변경 등을 유도하는 사기

💡 자주 묻는 질문 (FAQ)

Q.

타이쿤 2FA는 어떤 ‘피싱’ 서비스였고, 왜 큰 이슈가 됐나요?

타이쿤 2FA는 피싱 도구를 ‘서비스형 피싱(PhaaS)’으로 판매/제공한 대형 플랫폼으로, 기술 수준이 높지 않은 범죄자도 정교한 공격을 쉽게 운영할 수 있게 했습니다.

마이크로소프트는 2025년 중반 기준 차단한 피싱 시도의 62%가 타이쿤과 관련됐고, 한 달에 3,000만 통 이상이 탐지됐다고 밝혀 파급력이 매우 컸습니다.

Q.

MFA(2단계 인증)를 켜도 뚫릴 수 있다는데, 어떻게 가능한가요?

핵심은 ‘세션 토큰(또는 세션 쿠키) 탈취’입니다.

사용자가 MFA까지 완료하면 서비스가 “인증 완료” 증표로 세션 토큰을 브라우저에 저장하는데, 공격자가 피싱 페이지 등을 통해 이 토큰을 가로채면 추가 인증 없이도 정상 사용자처럼 로그인 상태를 재현할 수 있습니다.

Q.

이번 ‘인프라 해체’ 이후에도 피싱은 계속되나요? 이용자는 무엇을 하면 좋나요?

이번 조치는 피싱 생태계를 즉시 소멸시키기보다는, 범죄자들의 운영 기반을 끊어 재구축 비용과 적발 위험을 크게 높이는 효과가 큽니다.

이용자 입장에서는 링크 클릭 대신 공식 사이트에 직접 접속하고, 비밀번호 관리자를 사용하며, 가능하면 패스키/보안키 같은 피싱 저항형 인증을 쓰는 것이 도움이 됩니다.

TP AI 유의사항

TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.