# 스캐머들이 마이크로소프트 내부 계정을 악용해 스팸 링크 발송중

> Clean Markdown view of GeekNews topic #29840. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=29840](https://news.hada.io/topic?id=29840)
- GeekNews Markdown: [https://news.hada.io/topic/29840.md](https://news.hada.io/topic/29840.md)
- Type: GN+
- Author: [xguru](https://news.hada.io/@xguru)
- Published: 2026-05-25T08:24:12+09:00
- Updated: 2026-05-25T08:24:12+09:00
- Original source: [techcrunch.com](https://techcrunch.com/2026/05/21/scammers-are-abusing-an-internal-microsoft-account-to-send-spam/)
- Points: 1
- Comments: 1

## Topic Body

- 수개월간 사기범들이 **마이크로소프트 내부 이메일 주소**를 악용해 정식 계정 알림처럼 위장한 스팸 메일을 발송 중인 사건 발생  
- 문제의 발신 주소는 `msonlineservicesteam@microsoftonline.com`으로, 원래 2단계 인증 코드 등 중요한 계정 알림에 사용되는 공식 채널  
- 사기범들이 **신규 마이크로소프트 계정**을 생성하는 방식으로 시스템 허점을 악용 중이나, 구체적 우회 방식은 아직 불명확  
- 반(反)스팸 비영리단체 **The Spamhaus Project**가 수개월 전부터 동일 악용 사례를 관찰했으며, 마이크로소프트에 통보  
- 마이크로소프트는 **피싱 신고에 대한 조사 및 조치**를 진행 중이며, 탐지·차단 메커니즘 강화와 약관 위반 계정 삭제 작업 수행 중  
  
---  
  
### 사건 개요  
- 수개월에 걸쳐 사기범들이 **마이크로소프트의 정식 계정 알림 발송용 내부 이메일 주소**를 통해 스팸성 메일을 전송하는 허점을 악용  
- 사기범들이 신규 고객인 것처럼 **마이크로소프트 계정을 새로 생성**한 뒤, 해당 접근 권한을 통해 마이크로소프트 명의의 메일 발송 가능  
- 수신자들이 이메일을 **정품 알림으로 오인**할 위험 존재  
- 마이크로소프트는 현재까지 문제를 완전히 통제하지 못한 상태  
  
### 발송된 스팸 메일의 특징  
- 지난주 TechCrunch 기자가 여러 이메일 계정으로 유사한 구조의 스팸 메일을 다수 수신  
  - 모두 **`msonlineservicesteam@microsoftonline.com`** 주소에서 발송  
  - 해당 주소는 마이크로소프트가 **2단계 인증 코드** 및 온라인 계정 관련 중요 알림 발송에 사용하는 공식 계정  
- 메일 제목과 내용 구성  
  - 일부 메일은 **부정 거래 알림**처럼 보이는 공식 메일 제목 형식을 모방  
  - 다른 메일은 본문에 기재된 웹 주소에 **"비공개 메시지가 대기 중"** 이라고 주장  
  - 메일은 조잡하게 제작된 형태(crudely made)  
  
### Spamhaus Project의 관찰  
- 반스팸 비영리단체 **[The Spamhaus Project](https://infosec.exchange/@spamhaus/116601270466207765)** 가 화요일 소셜 게시물을 통해 동일 악용 사례를 확인했다고 발표  
  - 마이크로소프트의 계정 알림 이메일 주소가 스팸 발송에 악용되는 활동이 **"수개월"** 전부터 지속됨을 관찰  
- Spamhaus "**자동화된 알림 시스템은 이 수준의 커스터마이징을 허용해서는 안 됨**"  
- 해당 단체는 이미 마이크로소프트에 문제를 통보한 상태  
  
### 마이크로소프트의 대응  
- TechCrunch가 주초 마이크로소프트에 문의했을 당시에는 문의 접수만 확인하고 마감 시한까지 답변 없음  
- 기사 게재 후 외부 PR 대행사를 통해 Emelia Katon이 마이크로소프트의 공식 입장 전달  
  - "**피싱 신고에 대해 적극 조사 및 조치 중**이며 고객 보호를 위해 노력 중"  
  - **탐지 및 차단 메커니즘 강화** 진행  
  - **약관 위반 계정 제거** 작업 병행  
  
### 유사 악용 사례  
- 최근 몇 달 사이 해커와 사기범들이 기업 시스템을 악용해 고객을 속이는 사건이 잇따라 발생  
- 올해 초 발생 사례  
  - 해커들이 핀테크 기업 **Betterment**가 사용하는 플랫폼에 침입  
  - 사용자가 송금한 [암호화폐의 가치를 3배로 늘려준다는 **허위 알림**](https://techcrunch.com/2026/01/12/fintech-firm-betterment-confirms-data-breach-after-hackers-send-fake-crypto-scam-notification-to-users/) 발송 (전형적인 암호화폐 탈취 스캠)  
- 2023년 사례  
  - 해커들이 **Namecheap**이 운영하는 이메일 계정 접근 권한을 악용  
  - [**MetaMask, DHL 사칭 피싱 메일**을 발송해 사용자 자격 증명 탈취](https://www.bleepingcomputer.com/news/security/namecheaps-email-hacked-to-send-metamask-dhl-phishing-emails/) 시도  
- 소셜 미디어 사용자들에 따르면 다른 기업들의 이메일 주소 역시 스팸 발송에 악용되고 있어, 이번 문제가 **마이크로소프트에 국한되지 않음**

## Comments



### Comment 58172

- Author: neo
- Created: 2026-05-25T08:24:12+09:00
- Points: 1

###### [Hacker News 의견들](https://news.ycombinator.com/item?id=48253186) 
- 누가 **microsoftonline.com**이 진짜라고 확신할 수 있나 싶음. Microsoft의 도메인 관리가 너무 엉망이라, 내부에서도 자기들이 가진 도메인 자산 전체 목록을 완전히 갖고 있지 않아도 놀랍지 않음  
  회사들이 스팸을 구별하려면 도메인을 확인하라고 insist하면서도, 정작 공식적으로 메일을 보내는 모든 도메인 목록을 공개하지 못한다는 게 아이러니함
  - Microsoft가 **office.com**처럼 읽기 쉽고 기억하기 좋은 도메인에서 **m365.cloud.microsoft**라는 이상한 과시용 도메인으로 옮긴 것 같은 얘기인가 봄
  - 약간 다른 얘기지만, 인도에서 보험 갱신 시기마다 하루에 은행 사기 전화가 최소 12통은 왔음. 은행들이 공식 전화번호를 공개하고 직원들이 공식 번호만 쓰도록 의무화했으면 했는데, 최근 규제기관이 실제로 그렇게 해서 은행은 고객 연락에 **1600 번호**만 써야 함  
    그 뒤로 은행 사기 전화가 0건으로 줄었음
  - **Bluesky**는 더 심해서, 일부 이메일이 `moderation@blueskyweb.xyz`에서 옴  
    특히 신분증 같은 걸 그 주소로 보내라고 하다 보니, 사기가 아니라고 안심시키는 글까지 올려야 했음: [https://bsky.app/profile/safety.bsky.app/post/3ljp6zi7tp227](<https://bsky.app/profile/safety.bsky.app/post/3ljp6zi7tp227>)
  - 게다가 이메일 안의 링크를 **클릭 추적 도메인**으로 감싸는데, 그 도메인이 회사와 전혀 무관한 Mailgun 같은 곳일 때가 있음  
    그래서 클릭하려는 링크를 직접 확인해도, 합법적인 메일인데도 사기성 도메인으로 가는 것처럼 보임
  - 처음 떠오른 걸 조회해 봤더니 `internalmicrosoft.com`과 `microsoftinternal.com`이 아직 등록 가능했음. 이렇게 악용 여지가 크다면 공식 도메인 묶음을 훨씬 더 엄격하게 유지하고 싶을 것 같음

- 반쯤 관련된 얘기로, **Microsoft 보안**은 정말 형편없음  
  지난주 내내 Microsoft Authenticator가 여기저기서 로그인 시도가 있다고 알림을 보냈는데, 로그인 기록 페이지는 완전히 비어 있었음. 내 로그인조차 안 나옴  
  비밀번호가 유출된 거라고 생각할 수도 있지만 아님. 앱을 켜 둔 기본 로그인 흐름이 이메일 + Authenticator이고, 비밀번호가 필요 없음. 더 황당한 건 이 옵션을 앱에서 바꿀 수 없다는 것임  
  Microsoft는 그 계정이 아직 존재하는 유일한 이유가 Minecraft를 인수했기 때문이라는 걸 깨닫고 내 삶을 복잡하게 만들지 말아야 함
  - Microsoft에는 누군가 계정 로그인을 너무 많이 실패하면 계정이 잠기고, 정상 비밀번호인데도 **비밀번호 재설정**을 요구하는 멋진 기능도 있음  
    비밀번호를 바꾼 뒤에도 휴대폰에서 이메일에 로그인할 수 없어서 그냥 포기했음. 어차피 그 이메일은 몇 가지 용도로만 씀
  - 이건 이전 세션 쿠키가 브라우저에 있거나 IP가 바뀌지 않았을 때만 그런 거 아닌가 싶었음  
    수정: 새 IP와 Firefox 사생활 보호 창으로 직접 해 보니 맞았음. 이메일을 입력하고 앱 알림을 선택할 수 있음
  - 나도 같은 일을 겪었음. Authenticator가 “로그인됨”이라며 확인을 요구하는데, 보안 페이지에서 확인해 보면 기록이 전혀 없음  
    처음엔 겁이 나서 찾을 수 있는 보안 설정을 전부 뒤졌지만, 마치 아무 일도 없었던 것처럼 보였음  
    두 번째부터는 그냥 무시했지만 불안하긴 함. 기본 Authenticator 흐름에서는 실수로 올바른 숫자를 눌러버릴 가능성도 있음
  - 몇 달 전부터 나도 같은 현상이 생겼고, 이메일 주소를 바꾸자 알림이 멈췄음  
    실제로는 이전과 같은 사서함을 가리키는 별칭만 바꾼 것임
  - 같은 회사가 **SMS 2단계 인증**을 중단하고 자기들의 형편없는 Authenticator 앱을 쓰게 만들려고 함

- 우리 회사 도메인은 `m`으로 시작함. 최근 여러 사람이 `rn`으로 시작하는 도메인의 피싱 메일에 당했는데, **Outlook 글꼴**에서는 둘이 거의 똑같아 보임

- 예전에 Booking에서 호텔을 예약했는데, Booking 사이트 도메인 이메일과 DM을 통해 호텔이 보낸 것처럼 보이는 **피싱 시도**를 받았음  
  당시 살펴봤을 때는 호텔 계정이 털린 문제라기보다, Booking 쪽의 어떤 메시지/이메일 엔드포인트가 비슷한 방식으로 악용되는 것처럼 보였음  
  같은 유형인지는 모르겠지만 흥미롭고, 특히 Microsoft에 이미 보고됐는데도 아무 조치가 없었다는 점이 눈에 띔
  - 내가 본 건 모두 **호텔 이메일이나 Booking 계정이 침해된 경우**였음  
    투숙객 신분으로 호텔 시스템에서 악성코드나 원격 접근 도구를 제거하도록 “도와준” 적이 열 번도 넘음

- 회사들이 백만 개의 서로 다른 도메인을 만들지 말고 `internal.microsoft.com` 같은 **하위 도메인**을 쓰는 게 명백한 해법이라고 생각하는데, 여기서조차 아무도 그 얘기를 꺼내지 않을 만큼 현실과 멀어 보여서 씁쓸함
  - 심지어 `.microsoft`도 갖고 있는데 왜 굳이 그러는지 모르겠음
  - 맞는 말임  
    예전에 독일 정부기관에서 우리 회사에 데이터 내보내기를 요청하는 편지를 보내고, `findrive-ni.de`에 업로드하라고 한 적이 있음  
    실제로는 합법이었지만, Niedersachsen 주 도메인의 하위 도메인도 아니고 공식 사이트 어디에서도 참조되지 않았음

- 매일 Google 서버에서 오는 스팸 메일을 20~30통쯤 받고 있음. 재미 삼아 별도 **SPAM 폴더**로 분류 중임  
  누구에게 연락해야 하고, Google이 멈추게 하려면 어떻게 해야 하며, 서비스 악용은 어디에 신고해야 하는지 찾을 수 없음. 서비스 전체가 사실상 거대한 “꺼져, 연락받기 싫다”처럼 되어 있음  
  나도 글을 하나 공개해서 여기 HN에 올라가게 해야 하나 싶음. 그래야 Google 누군가가 들여다볼 동력이 생길지도 모름
  - 나도 한 번 그 토끼굴에 빠졌음. 찾을 수 있는 모든 악용 신고 채널을 시도했음  
    `network-abuse@`는 Google Cloud 악용 신고 양식으로 보내고, 거기서는 “보고서에 언급된 IP가 Google Cloud에 호스팅되어 있지 않아 조치할 수 없다”고 함  
    Gmail 악용 신고는 답장조차 안 함. 결국 **Rspamd**에서 Firebase 관련 DKIM 식별자를 차단했음
  - 여기로 시도해 볼 수 있음: [https://support.google.com/mail/contact/abuse?hl=en](<https://support.google.com/mail/contact/abuse?hl=en>)  
    지난주 피싱 이메일을 보낸 계정을 제출했지만, 사실상 블랙홀이라 아무 일도 기대하지 말라는 얘기를 들었음

- Meta에도 Business Manager 기능 중 하나에 비슷한 버그가 있었거나 아직 있음. 공격자가 **초기 본문 텍스트**를 완전히 제어할 수 있어서 굉장히 그럴듯하게 보임  
  이걸 신고하려고 해 봤지만 완전히 헛수고였음. 버그 바운티 스팸이 너무 많아서 보안 제출 절차가 가끔 들어오는 진짜 문제까지 걸러내는 듯함
  - 이런 메일을 너무 오래 받아서, 널리 퍼진 문제가 아니라 나만 표적이 된 건가 생각하기 시작했음. Meta가 아무 조치도 안 하는 것처럼 보였기 때문임  
    메일은 실제로 `noreply@business.facebook.com`에서 오고, 아래 같은 텍스트가 들어 있음. 어느 부분이 Meta 템플릿이고 어느 부분이 사용자가 입력한 텍스트를 창의적으로 악용한 건지 해독해 보라는 수준임  
    `Your Meta's Page may be at risk due to unusual activity...`  
    `Your Page is under restriction review Contact Meta Support: metafanpageviolate@gmail.com ...`

- PayPal에서도 비슷한 일이 벌어지는 건가? **PayPal 도메인**에서 온 것처럼 보이는 이메일을 받고 있는데, 명백히 사기임
  - 내가 본 PayPal 사례는 대체로 큰 금액의 송금 요청을 보내고, 사유를 쓰는 자유 입력 필드에 “이게 사기라고 생각되면 [실제로는 사기 번호]로 전화하라”는 가짜 문구를 넣는 방식이었음

- 최근 Google MX 서버에서 오는 스팸을 잔뜩 받다가, `X-Google-Group-Id` 헤더가 있는 모든 메일을 차단하니 멈췄음  
  어떻게 가능한지는 모르겠지만, 내용은 100% 스패머가 제어했고 Google 템플릿은 없었음

- 예전에 `@akamai.com`에서 온 **Coinbase 사기 메일**을 받은 적이 있음  
  Akamai가 인수한 회사 중 하나의 SPF 설정이 잘못돼 있었던 것 같음