코인베이스와 마이크로소프트가 유로폴과 협력하여 ‘타이쿤 2FA'(Tycoon 2FA)의 핵심 인프라를 해체했다. 다중인증(MFA)을 우회하는 피싱 도구를 ‘서비스형 피싱(Phishing-as-a-Service)’으로 제공했었던 이 플랫폼의 해체는 계정 탈취와 후속 금융사기 문제를 줄이는 계기가 될 것으로 기대된다.
5일(현지시간) 유로폴은 마이크로소프트가 타이쿤 2FA와 연결된 330개의 도메인을 차단하는 데 협력했다고 전했다. 수사 기관은 추가적으로 이 플랫폼의 핵심 인프라를 압수함으로써 운영 기반을 차단하는 성과를 거두었다. 이번 작전에는 가상자산 거래소인 코인베이스도 참여하여, 타이쿤 2FA에 자금을 지원한 거래를 추적, 재정 흐름을 분석했다. 이로 인해 피싱 플랫폼의 관리자와 구매자들을 식별할 수 있었다. 코인베이스 측은 “타이쿤의 핵심 인프라가 오프라인으로 제거되면 자격 증명 탈취의 주요 통로가 차단되어, 범죄자들은 더 큰 위험을 감수하며 재구축에 나서야 할 것”이라고 설명했다.
타이쿤 2FA가 ‘MFA 우회’가 가능했던 주된 이유는 사용자의 세션 토큰과 쿠키를 탈취할 수 있었기 때문이다. MFA가 활성화된 상태에서 로그인하면 시스템이 세션 토큰을 발급하는데, 이 토큰이 브라우저에 저장된다. 만약 공격자가 이 토큰을 탈취한다면, 추가적인 인증 없이도 정당 사용자처럼 접근할 수 있다. 코인베이스는 “정교한 유인과 세션 토큰 탈취가 결합되면 피싱이 계정 탈취와 같은 더 큰 범죄로 이어지는 신뢰할 수 있는 통로가 된다”고 경고했다.
마이크로소프트의 디지털범죄대응팀(DCU) 부법률고문 스티븐 마사다는 “2025년 중반 기준, 마이크로소프트가 차단한 피싱 시도의 62%가 타이쿤과 관련된 것이었으며, 매달 3000만 통이 넘는 이메일이 탐지됐다”고 언급했다. 그는 “타이쿤 2FA는 기술적 진입 장벽을 낮춰, 전문성이 부족한 범죄자들도 정교한 사칭 캠페인을 운영할 수 있게 했다”고 평가하며, 이 플랫폼이 전 세계에서 가장 규모가 큰 피싱 작전 중 하나임을 강조했다.
피해 사례는 특정 업종에 국한되지 않았다. 의료, 교육 등 다양한 산업이 타이쿤 2FA의 공격 대상이 되었다. 그 결과 이로 인해 청구서 수취 계좌가 바뀌어 지불 경로가 왜곡되거나 민감 정보 탈취, 네트워크 잠금, 환자 진료의 차질 등이 발생한 것으로 나타났다. 마사다는 “인프라를 제거함으로써 계정 탈취로의 주요 경로가 차단되고 데이터 탈취, 랜섬웨어, 기업 이메일 탈취(BEC), 금융 사기와 같은 후속 공격으로부터 개인 및 조직을 보호하는 데 도움이 될 것”이라고 밝혔다.
한편 피싱은 크립토 분야에서도 큰 위협으로 떠오르고 있으며, 블록체인 보안업체 서틱에 따르면 피싱 사기로 인한 피해는 2025년까지 7억 2,200만 달러(약 1조 591억 원)에 이를 것으로 예상된다. 업계 전문가들은 이번 타이쿤 2FA 인프라 해체가 피싱 생태계를 완전히 무너뜨리기보다 범죄자들의 운영 비용과 위험을 증가시킬 것이라는 데 초점을 두고 있다. MFA 우회형 피싱이 여전히 대규모 계정 탈취와 금융사기로 이어질 수 있는 만큼, 유사한 ‘서비스형 피싱’ 플랫폼에 대한 추가 공조가 시급하다는 목소리도 높아지고 있다.
