상세 컨텐츠

본문 제목

구글의 SMTP 릴레이 서비스, 피싱 이메일 전송에 악용돼

국내외 보안동향

by 알약4 2022. 5. 3. 09:00

본문

Google SMTP relay service abused for sending phishing emails

 

피싱 공격자들이 구글의 SMTP 릴레이 서비스를 악용하여 이메일 보안 제품을 우회하고 타깃 사용자에게 악성 이메일을 성공적으로 전달하는 것으로 나타났습니다.

 

이메일 보안 회사인 Avanan에서 공개한 보고서에 따르면, 2022 4월부터 구글의 SMTP 릴레이 서비스를 악용하는 공격자가 갑자기 증가했습니다.

 

이러한 방법을 통해 배포된 이메일은 4월 첫 2주 동안 최소 3만 건이었습니다.

 

공격의 세부 정보

 

구글은 Gmail Google Workspace 사용자가 발신 이메일을 라우팅하는 데 사용할 수 있는 SMTP(Simple Mail Transfer Protocol) 릴레이 서비스를 제공합니다.

 

기업에서는 외부 메일 서버를 관리할 필요가 없으며, 마케팅 이메일에 사용하여 메일 서버가 차단 목록에 추가되지 않도록 하는 등 다양한 이유로 해당 서비스를 이용합니다.

 

Avanan은 공격자가 구글의 SMTP 릴레이 서비스를 활용하여 '거부' 지시문으로 구성된 DMARC 정책이 없는 한 탐지되지 않은 채 다른 Gmail 테넌트를 스푸핑할 수 있다고 밝혔습니다.

 

DMARC(도메인 기반 메시지 인증, 보고, 적합성)는 도메인 소유자가 이메일이 도메인을 스푸핑하는 경우 발생해야 하는 작업을 지정할 수 있도록 하는 이메일 인증 프로토콜입니다.

 

이를 위해 도메인의 소유자는 메일 서버에 수행할 작업을 지시하는 지시문이 포함된 특수한 DMARC DNS 레코드를 생성합니다. 이러한 지시는 '없음'(스푸핑된 이메일에 대해 아무 것도 하지 않음), '격리'(스팸 폴더에 이메일 저장) '거부'(이메일을 전혀 받지 않음)가 있습니다.

 

이 새로운 피싱 캠페인은 신뢰할 수 있는 서버인 'smtp-relay.gmail.com' SMTP 서버를 사용하기 때문에, 일반적으로 이메일 게이트웨이 및 스팸 필터링 서비스의 허용 목록에 포함됩니다.

 

예를 들어, Avanan이 발견한 아래 이메일은 Trello.com에서 온 것처럼 보이지만 실제로는 jigokar.com에서 온 것이며 구글의 릴레이 서비스를 통과했습니다.

 

 

<이미지 출처 : https://www.avanan.com/blog/the-gmail-smtp-relay-service-exploit>

<Trello를 사칭한 악성 이메일>

 

 

앞서 언급한 대로, 이러한 공격은 기관이 DMARC 정책을 "없음"으로 설정한 경우에만 작동합니다. 이는 생각보다 꽤 흔한 일입니다. 예를 들어 dell.com, wikipedia.org, yandex.ru, pornhub.com, bit.ly, live.com DMARC 정책은 '없음'으로 설정되어 있었습니다.

 

엄격한 DMARC 정책을 설정할 경우 공격자가 도메인을 스푸핑하는 것을 방지하는 데 도움이 되기 때문에 권장됩니다.

 

Trello의 경우 다른 보안 툴을 사용하고 있기 때문에 DMARC 정책을 비활성화되어 스푸핑이 가능했습니다.

 

또한 이 릴레이를 사용하는 모든 Gmail 테넌트가 도메인의 신뢰할 수 있는 발신자 목록에 Google SMTP 릴레이 서비스를 추가하는 SPF 레코드를 설정할 가능성이 높기 때문에 해당 이메일은 스팸 탐지를 우회할 가능성이 높습니다.

 

공격자가 Gmail 테넌트의 도메인을 스푸핑하면 SPF 기록을 전달하고, DMARC '거부'로 설정되어 있지 않아 타깃 사용자의 받은편지함으로 성공적으로 전달됩니다.

 

Avanan은 구글 이외의 다른 릴레이 서비스에도 유사한 취약점이 있다고 밝혔습니다.

 

Avanan 2022 4 23일에 이 악용사례를 Gmail 팀에 제보했다고 밝혔습니다.

 

구글은 DMARC 프로토콜을 통해 이 문제를 해결 가능하다고 설명했습니다.

 

사용자가 환경을 적절히 구성하는 방법은 여기(1,2)에서 확인하실 수 있습니다.”

 

악성 스푸핑 시도를 탐지하기 위해서 보낸 사람의 주소를 확인하는 것만으로는 충분하지 않기 때문에, 전체 헤더를 확인하는 것이 좋습니다.

 

또한 메시지 본문에 링크가 포함된 경우 클릭하지 않고 링크 위로 마우스를 올려 URL을 먼저 확인할 수 있습니다. 유해한 사이트를 방문하는 것만으로도 시스템에 악성코드가 드롭될 수 있습니다.

 

마지막으로, 메시지에 첨부 파일이 포함되어 있을 경우, 특히 위험한 형식일 경우 다운로드하거나 열지 않는 것이 좋습니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/google-smtp-relay-service-abused-for-sending-phishing-emails/

https://www.avanan.com/blog/the-gmail-smtp-relay-service-exploit

관련글 더보기

댓글 영역