최근 클라우드 보안 기업 바라쿠다 네트웍스(Barracuda Networks)가 새로운 형태의 피싱-as-a-서비스(PhaaS) 도구인 'Whisper 2FA'를 발견했다고 밝혔다. 이 키트는 마이크로소프트 365(Microsoft 365)의 로그인 자격 증명과 다중 인증(MFA) 토큰을 실시간으로 훔치는 데 최적화된 설계가 특징이다. 특히 일반 피싱 사이트와 달리 지속적인 자격 정보 탈취 루프를 유지하는 점이 위협 수위를 한층 끌어올리고 있다.

Whisper 2FA는 2025년 7월 처음 탐지됐으며, AJAX 기술을 활용해 사용자 화면을 새로 고침하지 않고도 지속적으로 데이터 탈취가 가능하다. 이로 인해 사용자는 여전히 정상적인 로그인 과정이라 착각한 채 민감 정보를 반복 입력하게 되며, 이는 결국 공격자가 유효한 세션 토큰을 확보하는 데까지 이른다. 이 과정에서 수집된 MFA 토큰은 즉시 해커의 명령 제어 서버와 연동돼 인증 유효성을 판별한다.

공격에 사용된 미끼는 도큐사인(DocuSign), 어도비(Adobe), 음성메일 시스템, 송장 발송 알림 등 광범위하게 퍼져 있으며, 급박함과 신뢰를 유도하도록 정교하게 조작돼 있는 것으로 드러났다. 또한 사이트 레이아웃과 브랜드가 수시로 동적으로 변경돼 탐지 회피와 클릭률 극대화를 유도한다.

기술적 진화도 눈에 띄게 빨랐다. 초기 버전은 비교적 단순한 구조를 가졌으나, 최신 버전은 다층 암호화(Base64 및 XOR 인코딩), 디버깅 방지 코드, 개발자 분석 도구를 무력화하는 안티-인스펙션 기법까지 탑재하고 있다. 사용자 브라우저가 조작을 인지하면 페이지가 백지로 초기화되거나 작동이 멈추도록 설계돼 있어, 분석 자체가 사실상 불가능에 가깝다.

기존 피싱 도구와 달리 Whisper 2FA는 각 입력 필드를 숨겨진 스크립트에 연결해 클릭이나 키 입력이 이뤄지는 즉시 정보를 실시간으로 전송하는 구조를 갖고 있다. 특히 MFA 인증이 실패할 경우 사용자가 반복적으로 새 인증 코드를 입력하도록 유도해, 결국 유효 토큰이 확보될 때까지 공격을 이어간다.

바라쿠다는 이번 사례를 '산업화된 피싱 키트 생태계의 성숙 증거'로 평가하며, 단일 방어체계로는 대응이 한계에 부딪쳤다고 경고했다. 이들은 기업에 대해 사용자 교육, 피싱 저항성 높은 MFA 도입, 위협 모니터링, 보안 위협 인텔리전스 공유 등 다층 방어 전략을 조속히 구축해야 한다고 강조했다. 이제는 끊임없이 진화하는 피싱 도구를 상대로, 보안 역시 더 민첩하고 통합적인 대응이 요구되는 시대다.