뉴스33. 아마존의 간편 이메일 서비스 악용하는 피싱 이메일 급증

기사요약:

최근 공격자들이 아마존의 신뢰도 높은 이메일 서비스인 SES를 악용하여 보안 필터를 우회하는 정교한 피싱 공격을 전개하고 있습니다. 공격자들은 개발자의 실수로 노출된 IAM 액세스 키를 'TruffleHog'와 같은 자동화 도구로 수집하여 권한을 획득하며, 이를 통해 SPF, DKIM, DMARC 등 주요 이메일 인증 프로토콜을 정상적으로 통과하며, 신뢰할 수 있는 인프라를 바탕으로 차단을 회피한다.

 

1. 신뢰도가 높은 클라우드 기반 이메일 플랫폼인 아마존 SES를 이용해 보안 시스템을 무력화하는 피싱 사례가 늘고 있다. 개발자가 실수로 공개 리포지터리나 S3 버킷 등에 노출한 IAM 액세스 키를 공격자들이 TruffleHog 기반 봇으로 자동 스캔하여 탈취한다.

 

2. 탈취한 키로 아마존 SES에 접근한 공격자는 이메일 인증(SPF, DKIM, DMARC)을 정상적으로 통과하며, 아마존의 화이트리스트 IP를 사용해 차단을 피한다.

 

3. 사용자 지정 HTML 템플릿과 조작된 대화 내용을 활용해 실제처럼 보이는 가짜 청구서 등을 발송하며 금융 사기를 유도한다.

 

4. 피해 방지를 위해 최소 권한 원칙 적용, MFA 활성화, 정기적인 키 교체 및 IP 기반 액세스 제한이 필수적이다.

 

개인 의견:

실제 사고의 발단이 개발자의 실수로 노출된 액세스 키 하나에서 시작된다는 점을 보았으며, 여러 기사를 읽으며 느낀 점과 마찬가지로 이번 기사에서도 보안의 기본은 기술보다 그것을 어떻게 관리하냐에 있다고 생각하게 되었다.

 

<용어 정리>

깃허브 리포지터리(GitHub Repository): 소프트웨어의 소스 코드를 저장하고 수정 이력을 관리하는 온라인 저장소이다. 개발자들이 협업을 위해 코드를 올리는 곳이지만, 소스 코드 안에 액세스 키를 직접 적어둔 상태로 공개 설정(Public)을 하면 외부인이 이를 쉽게 확인할 수 있다.

ENV 파일(Environment Variable File): 소프트웨어가 실행될 때 필요한 환경 설정값들을 따로 모아둔 파일이다. 주로 비밀번호나 API 키 같은 민감 정보를 코드와 분리해서 관리하기 위해 사용하지만, 이 파일을 암호화하지 않거나 실수로 서버에 방치할 경우 공격자의 목표가 된다.

도커 이미지(Docker Image): 애플리케이션을 실행하는 데 필요한 프로그램, 라이브러리, 설정 등을 하나로 압축해 놓은 파일이다. 이미지를 생성하는 과정에서 설정 파일이 포함될 수 있으며, 공격자가 이미지를 분석하여 그 내부에 숨겨진 관리자 키나 비밀번호를 찾아낼 위험이 있다.

백업(Backup): 시스템 장애나 데이터 손실에 대비하여 데이터를 복사해 별도로 보관해 둔 결과물이다. 운영 중인 서버보다 보안 관리가 허술한 경우가 많으며, 암호화되지 않은 백업 파일 속에는 과거에 사용했던 설정 값이나 보안 키들이 그대로 남아 있는 경우가 많다.

S3 버킷(Amazon S3 Bucket): 아마존 웹 서비스(AWS)에서 제공하는 클라우드 데이터 저장 공간이다. 파일이나 이미지를 저장하는 용도로 널리 쓰이지만, 접근 권한 설정을 '공개(Public)'로 잘못 지정하면 주소만 알면 누구나 내부의 파일을 열람하고 다운로드할 수 있게 된다.

아마존 SES (Simple Email Service): 개발자가 애플리케이션 내에서 마케팅, 알림, 트랜잭션 이메일을 보낼 수 있도록 지원하는 AWS의 클라우드 기반 이메일 전송 서비스이다.

IAM (Identity and Access Management): AWS 리소스에 대한 사용자의 접근 권한을 안전하게 제어하고 관리하는 서비스이다.

SPF (Sender Policy Framework): 메일 수신 측에서 송신자가 권한이 있는 서버에서 보낸 것인지 확인할 수 있도록 DNS에 송신 서버 정보를 등록하는 인증 방식이다.

DKIM (DomainKeys Identified Mail): 송신자가 이메일에 디지털 서명을 추가하여 메일이 전송 과정에서 변조되지 않았음을 증명하는 기술이다.

DMARC (Domain-based Message Authentication, Reporting, and Conformance): SPF와 DKIM의 인증 결과를 바탕으로, 인증에 실패한 메일을 어떻게 처리할지(수용, 격리, 거부) 결정하는 정책이다.

TruffleHog: 깃허브(GitHub) 리포지터리나 파일 시스템 등에 실수로 포함된 비밀 키, 토큰, 비밀번호와 같은 민감 정보를 검색하고 찾아내는 오픈소스 보안 도구이다.

 

뉴스 링크: https://www.boannews.com/media/view.asp?idx=143477&page=1&kind=1