피싱 메일은 가짜 메일? 이제는 진짜 메일도 조심
- 구글 노코드 플랫폼 앱쉬트 통해 피싱 메일 발송
- 도메인 흉내 낸 가짜 메일 아니라, 진짜 앱쉬트 서비스로 만든 메일
- 전통 이메일 필터 기술 무력화
구글의 공식 노코드 플랫폼인 앱쉬트(AppShee)를 악용한 피싱 캠페인이 발견됐다. 공격자들은 피싱 메일을 마치 앱쉬트 서비스 관리자가 보낸 것처럼 위장하고 있으며, SPF, DKIM, DMARC 등 각종 이메일 인증 검사들을 무사히 통과한다. 인공지능 솔루션 업체 레이븐AI(RavenAI)가 이에 대한 보고서를 발표했다.
레이븐에 의하면 “앱쉬트는 구글 워크스페이스(Google Workspace) 제품군의 핵심 서비스”이며, “따라서 많은 기업들의 이메일 함에 앱쉬트 발 이메일이 자주 발견되는 편”이라고 한다. “앱쉬트라는 글자 자체가 신뢰를 주는 상황입니다. 이 때문에 이러한 피싱 캠페인이 성립하는 것이죠. 기업들의 상황을 아주 잘 알고 있는 자의 기획이라고 볼 수 있습니다. 공격자들이 합법적 플랫폼을 사용하여 이메일 필터 기술들을 본격적으로 회피하는 중입니다.”
‘공격자들이 합법적 플랫폼을 사용하여 이메일 필터 기술들을 본격적으로 회피한다’는 게 핵심이다. 기존 피싱 공격은 공격자들이 진짜로 보이는 도메인을 흉내 내 가짜 이메일을 만드는 게 골자였는데, 이번에는 진짜 합법적 이메일을 만드는 것이기 때문이다. 공격자들은 @appsheet.com이라는 합법적인 도메인으로 피싱 메일을 작성해 보낸다. 심지어 대부분 기업들이 고객들에게 보낼 때 사용하는 주소인 ‘noreply’를 사용하기도 한다(noreply@appsheet.com).
“구성 자체만 보면 합법 이메일입니다. 내용이 악성이라서 문제지요. 합법적인 모든 요소를 갖추고 있기 때문에 각종 이메일 필터 기술들을 통과하는 겁니다.” 이 이메일의 제목은 “상표권 관련 공지”이고, 메일 본문을 통해 피해자를 또 다른 페이지로 우회 접속시킨다. 접속되는 페이지는 일종의 로그인 페이지로, 가짜다. 이 때 악성 링크는 URL 단축 서비스를 활용해 만들어졌기 때문에 눈으로 식별이 불가능하다.
처음이 아냐
앱쉬트가 피싱 공격 도구로 악용된 건 처음이 아니다. 이러한 사례는 오히려 올해 3월을 기점으로 계속해서 증가하는 중이다. 4월 20일 하루 동안 발송된 전 세계 피싱 이메일 중 10.88%가 앱쉬트 도메인을 가지고 있을 정도였다. 레이븐은 “이미 공격자들에게는 앱쉬트 피싱 기법이 널리 퍼진 것으로 보인다”고 분석한다.
무슨 의미일까? “인증 기반 보안 기술에 의존하는 것만으로는 막을 수 없는 피싱 공격이 존재한다는 의미입니다. 합법적인 서비스가 있는 그대로 공격에 이용되는 것이기 때문에, 신뢰 받는 서비스임을 확인 및 인증하는 보안 기능은 무력화되는 것이죠. 앞으로 공격자들은 이런 기법을 더 활용할 것이며, 우리가 지금 사용하는 이메일 필터링 기술들은 쓸모 없게 될 것입니다. 더 똑똑한 메일 보안 시스템이 필요한 시점입니다.”
전통적 이메일 필터링 기술은 위에서 언급된 SPF, DKIM, DMARC이다. SPF는 이메일을 보낸 서버가 도메인 주인이 승인한 서버인지 확인하는 기술이다. 즉 보낸 이 메일 주소에 적혀 있는 주소가, 정말로 메일이 발송된 곳인지 비교 확인하는 거라고 볼 수 있다. 반면 DKIM은 이메일이 오는 과정 중에 내용 변조가 일어나지 않았는지를 검사하는 기술이다. DMARC는 위 두 가지 결과(주소와 서버 일치 + 내용 위변조 여부)를 종합한 후, 메일 받는 사람(혹은 회사)이 미리 정해둔 이메일 관련 정책을 적용하는 기술이다. 주소가 맞는지, 내용에 별 문제가 없는지 검사하고서, 그에 따라 우리 정책을 구체적으로 적용하는 것으로, 리포트까지 생성한다.
이미 잘 알려져 있는 메일 필터링 기술의 허점들
SPF와 DKIM, 그리고 DMARC는 널리 사용되고 있는 이메일 보호 기술이다. 하지만 널리 사용되고 있는 만큼 분석도 잘 되어 있고, 약점들 역시 잘 알려져 있다. 즉 맹목적으로 의존하기에는 아쉬운 구석들이 존재한다는 것으로, 이는 사용자 입장에서 기억해 두어야 할 내용이다. ‘무조건적인 의존’처럼 위험한 게 보안에서는 없기 때문이다.
SPF의 경우 메일이 포워딩 등을 통해 중간 서버를 거쳐 전달될 때 발송 서버 IP가 변하면서 SPF 검증 자체가 불발될 때가 많다. 따라서 결과가 100% 신뢰할 만하다고 하기 힘들다. DKIM은 메일 포워딩에 취약하지 않은데, 대신 메일 전달 과정에서 본문이 조금이라도 바뀌면 결과 신뢰도가 하락한다. 또 이 DKIM은 공개 키와 비밀 키를 활용하기도 하는데, 이런 키들의 교체 주기가 너무 길어지면 취약해질 수 있다. 이 두 가지를 종합해 활용하는 게 DMARC이니 약점들이 고스란히 계승된다. 게다가 메일 서버나 도메인이 다량 존재하는 복잡한 구조의 조직일 경우, DMARC가 실질적으로 구축돼 작동하는 면에서 한계를 드러내기도 한다.
Related Materials
- Hackers Impersonate Google AppSheet in Latest Phishing Campaign - GBHackers: AppSheet의 이메일·알림 체계 악용, 합법적 도메인서 대량 피싱 발송, 기존 SPF/DKIM/DMARC 우회 사례 상세 분석, 2025년
- Impersonating Meta, Powered by AppSheet: A Rising Phishing Campaign - KnowBe4: AppSheet 통한 Facebook/Meta 공식 사칭, 인증우회 및 MFA 세션 탈취·피싱 AI기법 활용, 2025년
- New Phishing Attack Mimics Google AppSheet to Steal Login Credentials - Teamwin: AppSheet 기반 피싱 로그인 페이지 제작, Google 신뢰 악용해 기업 대상 계정 탈취, 2025년
- Scammers observed using Google's AppSheet to impersonate Meta and PayPal - CyberDaily.au: 워크플로 자동화 악용 대량 피싱, 신뢰성 높은 발신주소 통한 우회, 실제 공격 과정 및 피해 사례 공개, 2025년
문가용 기자
문가용 기자
![[TE머묾] AI 시대에, 혐오 직업 보유자로 버티기](https://images.unsplash.com/photo-1660212074310-6d7ed176c746?crop=entropy&cs=tinysrgb&fit=max&fm=jpg&ixid=M3wxMTc3M3wwfDF8c2VhcmNofDMyfHxib3hpbmd8ZW58MHx8fHwxNzcyMDA0ODEwfDA&ixlib=rb-4.1.0&q=80&w=600)
![[단독] 美 NIST, QKD 상용화에 한 발 ‘전진’](https://images.unsplash.com/photo-1733424114804-b7369094b139?crop=entropy&cs=tinysrgb&fit=max&fm=jpg&ixid=M3wxMTc3M3wwfDF8c2VhcmNofDIxfHxxdWFudHVtfGVufDB8fHx8MTc3MTgyOTY0MXww&ixlib=rb-4.1.0&q=80&w=600)
![[TE머묾] 실패의 굴레에 갇힌 한국](https://images.unsplash.com/photo-1713861808117-8a9a94af4661?crop=entropy&cs=tinysrgb&fit=max&fm=jpg&ixid=M3wxMTc3M3wwfDF8c2VhcmNofDI2fHxzaW5nYXBvcmUlMjBjb21tdW5pY2F0aW9ufGVufDB8fHx8MTc3MTgyMTU1MXww&ixlib=rb-4.1.0&q=80&w=600)