DKIM 리플레이 공격: Google 피싱 이메일의 은밀한 진화와 방어 전략

핵심 기술

이 콘텐츠는 공격자가 DKIM 리플레이 공격과 Google OAuth 앱을 악용하여 Google 공식 이메일처럼 위장한 피싱 공격을 감행한 사례를 분석합니다. SPF, DKIM, DMARC 인증을 모두 통과하면서도 사용자를 속이는 정교한 공격 기법과 그 방어책을 다룹니다.

기술적 세부사항

• DKIM 리플레이 공격: 유효한 DKIM 서명이 포함된 정상 이메일을 캡처하여 내용 및 헤더를 변경 없이 재전송하는 공격 방식입니다. DKIM 서명이 원본 그대로 유지되면 재전송 시에도 인증을 통과할 수 있습니다.
• Google OAuth 앱 악용: 공격자는 Google Workspace 무료 평가판을 사용하여 악성 Google OAuth 앱을 생성하고, 'App Name' 필드에 'Google Support'와 같이 신뢰할 수 있는 이름을 넣어 Google의 공식 알림 이메일을 가로챌 수 있습니다.
• Google Sites 활용: 공격자는 Google Sites를 이용해 공식 지원 페이지처럼 보이는 피싱 사이트를 제작하여 신뢰도를 높입니다. Google Sites는 공식 google.com 서브도메인을 사용하므로 사용자가 쉽게 속을 수 있습니다.
• 공격 경로: 공격자는 Outlook 계정을 통해 메일을 발송하며, Microsoft Jellyfish 시스템 및 Namecheap PrivateEmail 서비스를 경유하여 발신지 및 경로 정보를 변경합니다. 이 과정에서 새로운 DKIM 서명이 추가되지만, 원본 Google DKIM 서명이 유효하면 DMARC 검증을 통과합니다.
• 탐지 및 대응: SPF, DKIM, DMARC 인증을 모두 통과하므로 탐지가 어렵습니다. 실질적 대응책으로는 DKIM 키 주기적 변경(30일 이하 권장)과 사용자 교육(수상한 링크 주의, URL 점검, 보고 문화)이 강조됩니다.
• 사회공학적 기법: '소환장' 또는 '법적 서류 요청'과 같은 긴급하고 위협적인 내용으로 사용자에게 공포, 긴박감, 혼란을 유발하여 즉각적인 반응을 유도합니다.
• 취약점: DKIM 서명이 To: 헤더를 포함하지 않는 경우(혹은 그렇게 간주되는 경우) 재전송 시에도 유효성을 유지할 수 있으며, Google의 메인 도메인 서브도메인에서 사용자 콘텐츠를 제공하는 점이 공격에 악용될 수 있습니다.

개발 임팩트

이 공격은 이메일 인증 메커니즘의 한계를 명확히 보여주며, 기존 보안 조치만으로는 완벽한 방어가 어렵다는 것을 시사합니다. 공격자들이 끊임없이 새로운 기법을 개발하고 있음을 인지하고, 다층적인 보안 전략과 사용자 인식 개선이 필수적임을 강조합니다.

커뮤니티 반응

커뮤니티에서는 DKIM, SPF, DMARC의 작동 방식과 한계에 대한 깊이 있는 논의가 이루어졌습니다. 특히 To: 헤더의 DKIM 서명 포함 여부, Google OAuth 앱 이름 필드의 보안 취약점, 그리고 Google Sites의 오용 가능성에 대한 지적이 많았습니다. 또한, 이러한 공격에 대한 사용자 교육과 보고 문화의 중요성이 강조되었습니다. 일부 사용자는 개인적인 경험을 공유하며 공격의 정교함과 위험성을 증언하기도 했습니다.