How is OAuth consent phishing different from regular phishing attacks?

Unlike traditional phishing that steals passwords, OAuth consent phishing tricks you into granting legitimate access permissions to malicious applications. This means attackers bypass multi-factor authentication, and changing your password won't revoke their access. The attack exploits the trusted OAuth framework itself, making it harder to detect since the access appears authorized through normal authentication channels.

Can attackers still access my account if I change my password after granting OAuth permissions?

Yes, changing your password does not revoke OAuth application permissions. Once you grant an application access through OAuth consent, it receives access tokens that work independently of your password. You must explicitly revoke the application's permissions through your account settings (like Google's 'Apps with account access' or Microsoft's 'My Apps') to remove the attacker's access completely.

How can I tell if an OAuth consent screen is legitimate or malicious?

Legitimate OAuth screens display verified publisher badges, official company domains, and request only permissions necessary for the app's function. Red flags include unverified publishers, generic app names, excessive permission requests (like email access for a calendar app), arrival via unexpected emails, and pressure to approve quickly. Always navigate directly to a service's official website rather than following emailed links when granting permissions.

What should I do if I accidentally granted permissions to a suspicious OAuth app?

Immediately revoke the application's access through your account security settings, then change your password as a precaution. Review recent account activity for unauthorized access, enable alerts for suspicious logins, and notify your IT department if using a work account. Check for any created inbox rules, forwarding settings, or authorized delegates that the attacker may have configured while they had access.

Why don't anti-virus programs or email filters catch OAuth consent phishing?

OAuth consent phishing uses legitimate authentication infrastructure and doesn't contain traditional malware or obviously malicious links. The OAuth consent screens are hosted on official Microsoft or Google domains, making them appear trustworthy to security filters. Email security tools focus on detecting credential harvesting sites or malware, but OAuth attacks abuse legitimate functionality, requiring specialized cloud security monitoring and user awareness to prevent.

높음 평균 피해액: $3,000 일반적 기간: 1-7 days

OAuth 동의 피싱: 앱 권한을 통한 신원 도용

OAuth 동의 피싱은 Microsoft 365, Google Workspace 및 기타 클라우드 플랫폼에서 사용하는 신뢰할 수 있는 OAuth 인증 프레임워크를 악용합니다. 공격자들은 비밀번호를 직접 탈취하는 대신, 이메일, 파일, 연락처 및 클라우드 리소스에 광범위한 접근 권한을 요청하는 악의적인 제3자 애플리케이션을 만듭니다. 피해자가 정당한 로그인 화면으로 보이는 화면에서 '허용' 또는 '수락'을 클릭하면, 무의식적으로 공격자의 애플리케이션에 자신의 계정에 대한 지속적인 접근 권한을 부여하게 됩니다. 이 접근 권한은 다중 인증을 우회하며 비밀번호 변경 후에도 활성 상태로 유지됩니다. Microsoft의 디지털 방어 보고서에 따르면, 이 공격 벡터는 2021년 이후 300% 증가했으며, FBI의 인터넷 범죄 불만 센터는 2023년에 OAuth 기반 공격과 연계된 비즈니스 이메일 손상으로 인한 4,300만 달러 이상의 손실을 연결했습니다. 이 기법은 정당한 인증 인프라를 활용하기 때문에 사용자와 기존 보안 도구 모두에서 탐지가 어렵다는 점에서 특히 위험합니다. 자격 증명 도용과 달리, OAuth 동의 피싱은 비밀번호 유출 알림이나 의심스러운 로그인 경고를 트리거하지 않습니다. 공격자들은 일반적으로 정교한 이메일 캠페인, 가짜 협업 초대 또는 손상된 웹사이트를 통해 악의적인 OAuth 요청을 전달합니다. FTC 보고서에 따르면 피해자의 68%는 가짜 SharePoint 알림이나 Teams 회의 초대를 받는 중소 비즈니스의 직원입니다. 개인의 평균 금전적 손실은 약 3,000달러에 달하지만, 데이터 유출, 비즈니스 중단, 복구 비용을 포함할 때 조직은 사건당 평균 47,000달러의 훨씬 더 큰 손실에 직면합니다.

주요 수법 식별 방법 자신을 보호하는 법 실제 사례 자주 묻는 질문 신고 채널

주요 수법

• 공격자들은 'Office365 보안 업데이트' 또는 'Google Drive 스캐너'와 같은 정당한 서비스를 모방하는 이름으로 OAuth 제공자에 악의적인 애플리케이션을 등록하여 동의 화면 중에 신뢰할 수 있어 보이도록 합니다.
• 사기꾼들은 OAuth 동의 페이지로의 링크가 포함된 피싱 이메일을 보내며, 종종 문서 공유 알림, 회의 초대 또는 즉시 조치가 필요한 긴급 보안 경고로 위장합니다.
• 범죄자들은 최소한으로 보이지만 실제로는 광범위한 접근 권한을 부여하는 권한 요청을 작성합니다. '이메일 읽기' 권한을 요청하면서 실제로는 전체 사서함 접근 및 메시지 전달 기능을 포함합니다.
• 공격자들은 자신의 미끼에서 시간 압박 전술을 사용하여 계정이 잠금될 것, 파일이 삭제될 것, 또는 긴급 문서가 피해자의 신중한 검토를 우회하기 위해 몇 시간 내에 즉시 검토해야 한다고 주장합니다.
• 정교한 작업은 먼저 정당한 직원 계정을 손상시킨 다음, 신뢰할 수 있는 내부 이메일 주소에서 OAuth 피싱 링크를 보내 조직 내 성공률을 높입니다.
• 사기꾼들은 offline_access 권한을 요청하여 지속적인 접근을 유지하므로, 악의적인 앱이 피해자가 재인증할 필요 없이 무기한으로 계정 접근을 유지할 수 있습니다.

식별 방법

예상치 못한 이메일의 링크를 클릭한 후 OAuth 동의 화면이 나타납니다. 특히 요청하지 않은 공유 문서, 보안 업데이트 또는 계정 확인에 관한 긴급 메시지입니다.
동의 화면의 애플리케이션 이름에 일반적인 용어, 오타 또는 '보안 이메일 리더' 또는 '문서 뷰어 프로'와 같은 의심스러운 이름이 포함되어 있으며 인식 가능한 브랜드가 아닙니다.
권한 요청에 '모든 파일에 대한 읽기 및 쓰기 권한', '사용자 대신 이메일 전송', '모든 연락처에 대한 접근' 등 광범위한 접근 범위가 포함되어 있으며, 해당 기능이 그러한 광범위한 권한을 필요로 하지 않습니다.
게시자 정보가 '미확인'으로 표시되거나 정식 회사 도메인(microsoft.com, google.com) 또는 확인된 게시자 배지가 아닌 의심스러운 도메인 이름을 표시합니다.
OAuth 동의 요청이 단축 URL(bit.ly, tinyurl)이나 익숙하지 않은 리디렉션 체인을 통해 도착하며, 알려진 서비스의 공식 도메인에서 직접 오지 않습니다.
타이밍이 의심스럽습니다. 즉, 동의 요청이 문서 공유, 달력 초대 또는 인위적인 긴급성을 만드는 보안 경고에 관한 원하지 않은 이메일을 받은 직후에 나타납니다.

자신을 보호하는 법

OAuth 동의 화면에서 '수락'을 클릭하기 전에, 애플리케이션 게시자가 확인되었고 도메인이 공식 회사 웹사이트와 일치하는지 확인합니다. 링크에 마우스를 올리고 실제 URL 목적지를 확인합니다.
요청된 권한을 신중하게 검토하고, 명시된 목적을 초과하는 접근을 요청하는 애플리케이션을 거부합니다. 예를 들어, 문서 뷰어는 이메일 전송 권한이 필요하지 않습니다.
Microsoft 365 또는 Google Workspace 관리자 콘솔에서 조직 정책을 구성하여 OAuth 앱 설치를 사전 승인된 애플리케이션으로 제한하거나 민감한 권한을 요청하는 앱에 대해 관리자 동의를 요구합니다.
계정 설정에서 연결된 애플리케이션을 정기적으로 감시합니다(Google: myaccount.google.com/permissions, Microsoft: account.microsoft.com/privacy). 익숙하지 않거나 사용하지 않는 애플리케이션의 접근 권한을 즉시 취소합니다.
클라우드 접근 보안 브로커(CASB) 또는 내장된 보안 도구를 사용하여 엔터프라이즈 환경에서 OAuth 동의 부여에 대한 향상된 로깅 및 모니터링을 사용 가능하게 하여 의심스러운 애플리케이션 권한을 탐지합니다.
사용자가 정당한 OAuth 요청과 악의적인 OAuth 요청을 구별하고, 접근 권한을 부여하기 전에 애플리케이션의 진정성을 확인하기 위한 명확한 프로토콜을 확립하도록 가르치는 OAuth 동의 피싱에 관한 사용자 인식 교육을 구현합니다.

실제 사례

중형 컨설팅 회사의 마케팅 담당자가 동료의 Microsoft 365 계정에서 보낸 것으로 보이는 '분기별 예산 - 즉시 검토 필요'라는 제목의 이메일을 받았습니다. SharePoint 링크를 클릭하면 'Office 문서 뷰어'라는 앱의 OAuth 동의 화면으로 이동했습니다. 접근 권한을 부여한 후 몇 시간 내에, 공격자의 애플리케이션이 2,847개의 이메일을 외부 계정으로 전달했으며, 이에는 은행 세부 정보를 포함하는 클라이언트 계약서가 포함되었고, 이러한 정보는 $28,000 송금을 리디렉션하는 데 사용되었습니다.

인사 이사가 긴급 경영진 회의에 대한 것으로 보이는 Google 캘린더 초대를 받았습니다. 초대를 수락하면 '기본 캘린더 접근'을 요청하는 캘린더 앱에 대한 OAuth 요청이 트리거되었습니다. 피해자는 Gmail 및 Drive 접근에 대한 추가 권한을 알아채지 못하고 이를 승인했습니다. 다음 3일간 공격자는 직원 개인 정보(340명의 직원에 대한 사회 보장 번호 포함)를 유출했으며, 정기적인 보안 감사 중에야 유출이 발견되었습니다.

소비자 사업가가 자신의 Dropbox 계정에 의심스러운 활동이 있었고 확인이 필요하다고 주장하는 이메일의 링크를 클릭했습니다. OAuth 동의 화면은 Dropbox 색상으로 브랜딩되고 '계정 확인 권한'을 요청하는 정당해 보였습니다. 승인 후, 악의적인 앱이 회사의 클라우드 저장소에 접근했으며, 중요한 비즈니스 파일을 암호화하고 $4,500의 몸값을 요구했습니다. 접근 권한이 정당한 OAuth를 통해 부여되었기 때문에 암호화 활동은 심각한 피해가 발생할 때까지 보안 경고를 트리거하지 않았습니다.

자주 묻는 질문

OAuth 동의 피싱은 일반적인 피싱 공격과 어떻게 다릅니까?

비밀번호를 탈취하는 전통적인 피싱과 달리, OAuth 동의 피싱은 악의적인 애플리케이션에 정당한 접근 권한을 부여하도록 사용자를 속입니다. 이는 공격자가 다중 인증을 우회한다는 것을 의미하며, 비밀번호를 변경해도 그들의 접근 권한이 취소되지 않습니다. 공격은 신뢰할 수 있는 OAuth 프레임워크 자체를 악용하므로, 접근 권한이 일반 인증 채널을 통해 승인된 것으로 보이기 때문에 탐지가 더 어렵습니다.

신고 채널 — 대한민국

귀하의 지역에서 이 사기를 신고할 수 있는 공식 채널.

경찰청 사이버범죄 신고시스템 (ECRM)

사이버 범죄

경찰청 사이버수사 신고. 보이스피싱·해킹·온라인사기 통합 접수.

182 방문 →

한국인터넷진흥원 KISA 118

개인정보 침해, 스팸, 해킹 등 종합상담 (24시간).

118 방문 →

금융감독원 1332

금융 감독

보이스피싱·금융사기 신고 및 피해구제 상담.

1332 방문 →

한국소비자원

소비자 보호

소비자 피해 상담 및 분쟁조정.

1372 방문 →

이 사기를 의심하시나요?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), oauth 동의 피싱: 앱 권한을 통한 신원 도용 is described at https://scamlens.org/ko/encyclopedia/oauth-consent-phishing.

https://scamlens.org/ko/encyclopedia/oauth-consent-phishing

여기서 시작

안전 검사

인텔리전스

도구 및 보고서

프리미엄 서비스

확장 프로그램 및 API