유로폴과 마이크로소프트, 코인베이스 등은 MFA를 우회하는 서비스형 피싱 플랫폼 ‘타이쿤 2FA’의 핵심 인프라를 압수·차단해 운영 기반을 끊었다.

코인베이스는 블록체인 금융 추적으로 자금 흐름과 관련 인물 식별을 지원했으며, 대규모 계정 탈취·금융사기 확산 차단의 전환점이 될지 주목된다.

코인베이스·마이크로소프트 공조…‘MFA 우회’ 피싱 플랫폼 타이쿤 2FA 인프라 해체 / TokenPost.ai

코인베이스 등 주요 테크 기업과 수사기관이 손잡고 ‘타이쿤 2FA(Tycoon 2FA)’의 핵심 인프라를 해체했다. 다중인증(MFA)을 우회하는 피싱 도구를 ‘서비스형 피싱(Phishing-as-a-Service)’ 형태로 제공해온 대형 플랫폼이 타격을 입으면서, 계정 탈취와 후속 금융사기 확산을 막는 데 의미 있는 전환점이 될지 주목된다.

유로폴은 5일(현지시간) 마이크로소프트가 타이쿤 2FA와 연계된 도메인 330개를 차단하는 데 협력했다고 밝혔다. 수사기관은 추가로 핵심 인프라도 압수해 플랫폼 운영에 필요한 기반을 끊어냈다. 이번 공조에는 가상자산 거래소 코인베이스도 참여했다.

코인베이스는 타이쿤 2FA를 지탱하던 자금 흐름을 추적하는 ‘금융 추적’ 지원이 작전의 한 축이었다고 설명했다. 블록체인 상 거래를 분석해 타이쿤 2FA에 자금을 댄 트랜잭션을 좇았고, 그 과정에서 피싱 플랫폼의 ‘관리자’로 지목되는 인물과 구매자들을 식별하는 데 도움이 됐다는 것이다. 코인베이스는 “타이쿤의 핵심 인프라를 오프라인으로 내리면 자격 증명(아이디·비밀번호) 탈취로 이어지는 주요 파이프라인을 차단할 수 있고, 범죄자들이 재구축·재도구화에 나서면서 더 큰 위험을 감수하게 된다”고 말했다.

‘MFA 우회’가 가능했던 이유…세션 토큰 탈취

코인베이스에 따르면 타이쿤 2FA의 툴킷은 합법적인 웹사이트를 정교하게 모방한 ‘가짜 랜딩 페이지’를 만들어 이용자 자격 증명을 빼내는 방식이 핵심이다. 여기에 더해 세션 쿠키와 토큰을 가로채 다중인증(MFA) 보호를 우회할 수 있도록 설계됐다.

일반적으로 MFA로 로그인하면 시스템은 ‘세션 토큰’을 발급한다. 이 토큰은 인증이 완료됐다는 증표로 브라우저에 저장되는데, 공격자가 이를 탈취하면 추가 인증 단계를 건너뛰고도 정상 사용자처럼 접근할 수 있다. 코인베이스는 “정교한 유인(미끼)과 세션 토큰 탈취가 결합되면 피싱은 계정 탈취 같은 더 큰 범죄로 이어지는 ‘믿을 만한 진입로’가 된다”며 기업 이메일 탈취(BEC), 인보이스(청구서) 사기, 추가 사회공학 공격 등으로 확장될 수 있다고 경고했다.

마이크로소프트 “2025년 중반, 차단한 피싱의 62%가 타이쿤”

타이쿤 2FA는 최소 2023년부터 활동해온 것으로 파악된다. 마이크로소프트 디지털범죄대응팀(DCU)에서 법무를 맡고 있는 스티븐 마사다(Steven Masada) 부법률고문은 “2025년 중반 기준 마이크로소프트가 차단한 피싱 시도의 62%가 타이쿤과 관련돼 있었고, 한 달에만 3,000만 통이 넘는 이메일이 탐지됐다”고 밝혔다. 그는 “기술적 진입장벽을 낮춰 전문성이 낮은 범죄자도 정교한 사칭 캠페인을 운영하게 만들었다는 점에서, 타이쿤 2FA는 전 세계 최대 규모 피싱 작전 중 하나로 자리 잡았다”고 평가했다.

피해는 특정 업종에 국한되지 않았다. 마사다는 의료부터 교육까지 여러 산업이 타이쿤 2FA의 공격 대상이 됐고, 그 결과 청구서 수취 계좌가 바뀌는 등 ‘지불 경로’가 왜곡되거나 민감정보 탈취, 네트워크 잠금, 환자 진료 차질 같은 실질적 피해가 발생했다고 지적했다. 그는 “인프라를 내리면 계정 탈취로 가는 주요 통로를 끊고, 데이터 탈취·랜섬웨어·기업 이메일 탈취(BEC)·금융사기 같은 후속 공격으로부터 개인과 조직을 보호하는 데 도움이 된다”고 말했다.

한편 피싱은 크립토 범죄에서도 핵심 위협으로 꼽힌다. 블록체인 보안업체 서틱은 피싱 사기가 2025년 두 번째로 큰 위협으로 분류됐으며, 248건의 사건에서 크립토 투자자 피해가 7억2,200만 달러(약 1조 591억 원)에 달했다고 집계했다. 또 펙실드 측은 2026년에도 피싱이 ‘지속적인 위협’으로 남아 있다고 지적했다.

업계에서는 이번 타이쿤 2FA 인프라 해체가 피싱 생태계 전반을 곧바로 무너뜨리기보다는, 범죄자들의 운영 비용과 위험을 끌어올리는 효과에 초점이 맞춰져 있다고 본다. 다만 MFA 우회형 피싱이 실제로 대규모 계정 탈취와 금융사기로 이어져 온 만큼, 유사 ‘서비스형 피싱’ 플랫폼을 겨냥한 추가 공조가 이어질지 시장의 관심이 쏠린다.

기사요약 by TokenPost.ai