“애플·페이팔 메일도 믿을 수 없다” DKIM 리플레이 공격으로 진화한 송장 피싱 주의

by 이스트시큐리티 마케팅팀

 

 

안녕하세요, 이스트시큐리티입니다.

 

최근 애플과 페이팔 같은 글로벌 결제 플랫폼의 결제 요청서(Invoice)·분쟁 알림 기능을 악용한 신종 피싱 공격이 전 세계적으로 확산되고 있습니다. 이 공격은 정상 플랫폼에서 실제로 발송된 이메일을 그대로 재활용하는 방식으로, 기존 이메일 인증 체계(SPF·DKIM·DMARC)를 교묘히 우회한다는 점에서 각별한 주의가 필요합니다.

 

해외 보안 매체 Cyber Security News 등 다수의 보안 리포트에 따르면, 공격자는 먼저 애플이나 페이팔에 가짜 판매자 계정을 생성한 뒤, 해당 플랫폼의 ‘결제 요청’ 또는 ‘거래 취소 요청’ 기능을 이용해 자신에게 인보이스 메일을 발송합니다. 이후 이렇게 받은 정상 메일을 그대로 다수의 피해자에게 재전송(리플레이)함으로써, 사용자가 플랫폼에서 온 공식 결제 안내로 믿도록 유도합니다.

 

 

 

 

 

 

정상 플랫폼 기능을 악용한 송장 피싱 수법

이 공격의 핵심은 플랫폼이 제공하는 공식 기능과 실제 메일 템플릿을 그대로 악용한다는 점입니다.

[이미지] App Store invoice abused by DKIM replay attack (출처: Kaseya)

 

 

공격 과정은 다음과 같이 요약할 수 있습니다.

 

▪︎ 공격자가 애플·페이팔 등의 계정 및 판매자 프로필을 생성

▪︎ 결제 요청서(Invoice)나 분쟁 알림을 자신의 이메일 주소로 발송

▪︎ 그 메일을 별도 변경 없이 여러 피해자에게 다시 전달(포워딩/리플레이)

 

이때 공격자는 결제 요청서의 메모란, 설명란, 판매자명 등에 사기성 문구와 전화번호 등을 삽입합니다. 겉으로 보기에는 애플·페이팔에서 발송된 정상 결제 알림처럼 보이기 때문에, 사용자는 이를 실제 결제 오류나 무단 결제로 오인하고 이메일에 적힌 번호로 전화를 걸거나, 안내된 절차를 따르게 됩니다.

 

전화 연결 이후에는 상담원을 사칭한 공격자가 “결제 취소를 도와주겠다”, “계정 보호를 위해 본인 확인이 필요하다”는 명목으로 카드 번호, CVC, 일회용 인증번호, 계정 자격 증명 등을 요구하며 민감한 금융·계정 정보를 탈취합니다.

 

 

 

 

왜 더 위험할까? : DKIM 리플레이 공격의 구조적 맹점

[이미지] PayPal disputed invoice abused by DKIM replay attacks (출처: Kaseya)

 

 

 

이번 공격이 특히 위험한 이유는 DKIM 리플레이(DKIM Replay Attack) 기법을 활용한다는 점입니다.

 

▪︎ DKIM(DomainKeys Identified Mail)은 발신 도메인이 위조되지 않았는지 확인하기 위해, 메일 본문과 일부 헤더에 대해 전자서명을 적용하는 이메일 인증 기술입니다.

▪︎ 애플·페이팔에서 원래 보낸 인보이스 메일은 이 DKIM 서명이 포함되어 있으며, 수신 서버에서는 이 서명이 유효한지 검증해 dkim=pass 판정을 내립니다.

 

 

문제는 공격자가 자신에게 정상적으로 도착한 메일을 내용 변경 없이 그대로 재전송할 경우, 원본에 포함된 DKIM 서명이 그대로 유지된다는 점입니다. 메일 본문과 서명 대상 헤더가 변조되지 않기 때문에, 수신 서버 입장에서는 이 메일을 여전히 '해당 도메인(apple.com, paypal.com)에서 보낸 정상 메일'로 인식하게 됩니다.

 

이 과정에서 SPF는 공격자의 발송 IP가 공식 발송 서버가 아니기 때문에 실패할 수 있지만, DMARC 정책이 'DKIM 또는 SPF 중 하나가 일치하면 통과'하도록 설정된 경우, 유효한 DKIM 서명만으로도 DMARC까지 통과하게 됩니다. 즉, 인증 프로토콜은 '누가 보냈는지(From 도메인)'는 확인하지만, '해당 내용이 안전한지, 악성 의도가 있는지'까지는 보장하지 못하는 구조적 한계를 노린 것입니다.

 

 

 

 

이메일 인증만으로는 충분하지 않은 이유

이번 사례는 이메일 보안이 단순히 SPF·DKIM·DMARC를 구성했다고 해서 자동으로 완결되는 체계가 아니라는 점을 분명히 보여줍니다.

 

▪︎ 인증은 어디까지나 발신 도메인의 정당성을 검증하는 수단입니다.

▪︎ 공격자는 이 정당한 발신 채널을 먼저 확보한 뒤, 그 안에 사회공학(Social Engineering) 요소와 금융 사기를 끼워 넣어 악용하고 있습니다.

 

 

특히 기업 환경에서는 재무·구매·영업 조직이 실제 결제 요청, 인보이스, 구독 갱신·취소 알림을 빈번하게 수신합니다. 이 때문에 정상 업무 흐름과 매우 유사한 형태로 위장한 송장 피싱에 취약할 수밖에 없습니다.

 

단 한 번의 전화 통화나 링크 클릭만으로도 계정 탈취와 카드 정보 유출이 발생할 수 있고, 그 여파가 개인을 넘어 회사 계정, SaaS 구독, 결제 채널까지 확산될 수 있다는 점에서 조직 전체 리스크로 이어질 수 있습니다.

 

 

 

 

조직 차원의 대응 전략과 점검 포인트

보안팀·IT 운영팀은 단순히 인증 결과만 보지 말고, 아래와 같은 관점에서 추가적인 방어·모니터링 체계를 마련할 필요가 있습니다.

 

 

1) 이메일 인증 결과 해석 고도화

 

▪︎ dkim=pass, dmarc=pass라는 이유만으로 메일을 자동 '정상'으로 분류하지 않도록 정책을 설계해야 합니다.

▪︎발신 도메인이 애플·페이팔 등으로 표시되더라도, 발송 IP가 해당 업체의 공식 SPF 범위에 포함되는지, 과거 정상 트래픽 패턴과 일치하는지는 별도로 검증하는 것이 바람직합니다.

 

 

2) 수신자 정보 정합성 검증 강화

 

▪︎ 메일 게이트웨이에서 Envelope To(실제 수신자)와 메일 헤더의 To, 내부 디렉터리의 실제 사용자 정보가 일치하는지 검사하는 정책을 강화합니다.

▪︎ 벤더 인보이스 메일인데 조직 내 다수 사용자에게 동시·반복적으로 전달되는 패턴, 혹은 명백히 관계 없는 부서/계정으로 발송되는 경우를 이상 징후로 인식해 추가 점검 대상으로 분류할 수 있습니다.

 

 

3) 금융 행위와 연결된 메일에 대한 별도 처리

 

▪︎ 결제 요청서, 송장, 구독 갱신·취소, 분쟁 해결 안내 등 금융·결제와 직결되는 메일에 대해서는 별도의 경고 배너나 사용자 주의 문구를 자동으로 삽입하는 방안을 고려합니다.

▪︎ 문구 예시

“결제 취소·환불을 요청하는 메일입니다. 메일의 전화번호·링크 대신 공식 웹사이트 또는 앱을 직접 열어 확인하세요.”와 같은 명시적 경고를 표시합니다.

 

 

4) DKIM 리플레이 패턴 탐지

 

▪︎ 동일한 DKIM 서명을 가진 인보이스/알림 메일이 단기간에 여러 수신자에게 반복적으로 들어오는지 모니터링하는 규칙을 마련합니다.

▪︎ 애플·페이팔 등에서 온 것으로 보이지만, 발송 IP가 공식 공개 정보와 크게 동떨어져 있거나, 특정 외부 호스팅/프록시에서 반복적으로 포착되는 경우 우선 격리 후 검토하는 것도 한 방법입니다.

 

 

 

 

임직원·개인 사용자 행동 수칙

기술적 방어와 더불어, 사용자 인식 제고와 보안 교육이 무엇보다 중요합니다. 다음 원칙을 반드시 안내·교육하는 것을 권장합니다.

 

 

1) '정상 도메인 = 안전'이라는 생각 버리기

 

▪︎  service@paypal.com, no-reply@apple.com 처럼 보여도, 그 메일이 항상 안전하다고 가정해서는 안 됩니다.

▪︎  브랜드 로고, 공식 템플릿, 도메인이 모두 진짜일 수 있지만, 그 안에 포함된 전화번호·문의 경로·설명 문구가 공격자가 삽입한 것일 수 있다는 점을 강조해야 합니다.

 

 

2) 전화번호·링크는 사용하지 말고, 직접 접속해 확인하기

 

▪︎ 결제 취소, 구독 해지, 무단 결제 알림, 계정 잠금 해제 안내 등 민감한 알림 메일을 받았을 때는, 메일에 적힌 전화번호나 링크를 절대 그대로 사용하지 말고, 브라우저나 공식 앱에서 주소를 직접 입력해 접속해야 합니다.

▪︎ PayPal의 경우 직접 paypal.com에 접속해 로그인 후 활동 내역(Activity)·Resolution Center에서 동일 알림이 존재하는지 확인하고, 존재하지 않는다면 피싱으로 의심해야 합니다.

▪︎ 애플 역시 appleid.apple.com 또는 공식 앱스토어/구독 관리 화면을 통해 결제 내역과 구독 상태를 확인하는 습관을 들여야 합니다.

 

 

3) 추가 정보 요구 시 즉시 의심하기

 

▪︎ 전화 상담 중 카드 전체 번호, CVC, 일회용 인증번호, 계정 비밀번호, 보안 질문 답변 등을 요구한다면, 즉시 통화를 종료하고 공식 채널로 다시 확인해야 합니다.

▪︎ 실제 애플·페이팔·은행 등은 전화나 이메일을 통해 비밀번호나 전체 카드 번호를 요구하지 않는다는 점을 반복적으로 교육해야 합니다.

 

 

 

 

애플·페이팔 인보이스 기능을 악용한 DKIM 리플레이 기반 송장 피싱은, 전통적인 ‘도메인 위조 메일’과는 다른 차원의 위협입니다. 발신 도메인과 템플릿, DKIM·DMARC까지 모두 정상처럼 보이기 때문에, 이제는 '메일이 진짜냐 가짜냐'를 넘어서 '내용·행동 요청이 합리적인가, 검증 가능한 공식 경로를 통해 재확인했는가'를 기준으로 판단해야 합니다.

 

조직과 개인 모두, 이메일 인증 기술을 절대적인 안전 장치로 과신하기보다, 기술·정책·사용자 인식이 결합된 다층적인 방어 전략을 통해 이런 유형의 공격에 대비해야 합니다.

 

 

 

---

[참고 출처]

• Hackers Exploit Legitimate Apple and PayPal Invoice Emails in DKIM Replay Attacks – Cyber Security News