구글, DKIM 리플레이 공격으로 스푸핑 당함: 기술적 분석

• 공격자가 DKIM 리플레이 공격을 이용해 Google로 가장한 피싱 이메일을 성공적으로 보낸 사례임
• 이메일의 발신 주소 및 인증 결과가 실제 구글 공식 메일처럼 보여 사용자가 쉽게 속을 수 있음
• 공격자는 Google Sites를 활용해 공식 지원 페이지처럼 보이도록 사이트를 제작해 신뢰도를 높임
• SPF, DMARC, DKIM 모두 인증을 통과하지만, 본문 및 서명 헤더 수정 없이 이메일 재전송이 핵심임
• 실질적 대응책으로 DKIM 키 주기적 변경과 사용자 인지 제고가 권장됨

시작: 정상으로 보이는 피싱 메일

• 아침에 한 지인이 구글 계정에 대한 법적 서류 요청을 받았다는 이메일을 받음
• 발신자는 Google 공식 no-reply 주소로 표시, 오타나 수상한 링크, 비정상적인 도메인 없이 정교하게 작성됨
• 수신자는 진위여부 판단이 어려워 전문가에게 의뢰함

이메일 상세 분석

• 이메일 헤더 및 링크 프리뷰를 샌드박스 환경에서 조사
• 발신 주소, 브랜딩, 언어 품질, 첨부 파일 유무 모두 정상적임
• 하지만 SPF, DKIM, DMARC 인증결과 체크 시 이상 징후 발견됨

피싱 메일 주의사항

• 수상한 이메일 내 링크 클릭·지시사항 실행 금지 강조
• 샌드박스가 아닌 환경에서 해당 이메일에 응답하거나 첨부파일 열 경우 정보 유출, 기업 이메일 침해, 계정 탈취, 네트워크 침해 위험 존재함
• 의심스러운 경우 즉시 전문 분석 및 보안팀에 보고 필요

공격 흐름: Google Sites 활용

• 공격 이메일의 링크는 로그인 상태라면 바로 Google Sites로 연결
• Google Sites는 아무나 무료로 제작할 수 있는 공식 google.com 서브도메인이지만, 내용 자체는 공식 지원 페이지가 아님
• 내부 위키, 프로젝트 대시보드, 문서화, 이벤트 웹사이트 등 다양한 목적으로 쓰이며, 이번 공격처럼 악용될 수 있음

인프라 신뢰가 위협이 되는 순간

• Google Sites(2008년 출시)는 Google Workspace와 연동, 손쉬운 제작·배포·SSL 인증·브랜드 신뢰도 제공
• 공격자는 별도 도메인/호스팅 없이 공식처럼 보이는 피싱 사이트를 쉽고 저비용으로 구축 가능

DKIM 리플레이 공격 과정 상세

1단계: 실제 구글 이메일 확보

• 공격자는 no-reply@accounts.google.com 계정에서 정상 이메일 수신 후, 원본 본문 및 헤더를 저장함

2단계: 서명 메시지 재전송 준비

• DKIM은 메일 본문 일부 및 특정 헤더에 대해 디지털 서명을 부여
• 원본 메시지와 서명 헤더가 유지되면, 재전송 시에도 인증 유지됨

3단계: Outlook을 통한 재전송

• 공격자는 Outlook 계정에서 공격용 메일 전송
• 발신지, 경로 정보 일부가 변경되나, DKIM 서명이 유효하게 남음

4단계: Jellyfish SMTP 중계서버 이용

• Microsoft에서 Jellyfish 시스템을 경유하여 메일 라우팅(발신 서버와의 거리 확보)

5단계: Namecheap PrivateEmail을 통한 전송

• Namecheap PrivateEmail 서비스가 메일을 수신 후 추가 중계 역할 수행
• 이 과정에서 새로운 DKIM 서명이 추가되지만, DMARC 기준에는 부합하지 않음
• 원본 구글 DKIM 서명이 일치/유효하여 DMARC 검증 통과

6단계: Gmail 최종 배달

• 최종적으로 수신자는 Google 공식 메일로 보이는 이메일 수신
• SPF, DKIM, DMARC 모두 인증 통과하는 결과

가짜 소환장 이메일이 위험한 이유

• ‘소환장’ 메일은 수신자에게 공포·긴박감·혼란 유발
• 실제 소환장 발부/전달 방식과 차이가 있으며, 정상적이라면 물리적 전달이나 공식 채널을 통해 진행
• 이런 유형의 피싱은 매우 설득력 있어, 기술적으로 숙련된 사용자도 쉽게 속을 수 있음

결론 및 대응

• 예상치 못한 긴급 이메일일수록 항상 진위 검증 및 전문가 조치 요청 필수
• 링크 클릭, 회신, 실행 일체 금지
• 보안팀 혹은 조사 전문 인력에게 분석 요청 권장

추가: 공격 재현 과정

• 공격자는 Namecheap에서 도메인 등록, 무료 PrivateEmail 서비스 획득
• Google Workspace(무료 평가판) 가입 및 도메인 인증 후, 악성 Google OAuth App 생성
• App Name 필드를 통해 원하는 이름 설정 가능(예: Google Support)
• 구글이 발송한 계정 알림이 PrivateEmail로 전송되며, 발신 주소와 회신 주소 조작 가능
• 최종적으로 공격 메일이 원하는 타겟에게 전달됨

자주 묻는 질문

• DKIM 리플레이 공격: 공격자가 유효한 DKIM 서명이 포함된 정상 이메일을 캡처 후, 동일 내용·헤더로 재전송
• SPF, DMARC 차단 한계: SPF는 보낸 서버/IP만 검증, 리플레이 공격 시 DMARC도 DKIM 정합성 있으면 통과 가능
• 탐지 어려움 이유: 본문·헤더 변조 없이 서명 검증만으로는 식별 곤란
• 공격의 Google OAuth 우회: 공격자는 악성 OAuth App 생성, 구글이 전송한 공식 알림을 재전송해 신뢰도 확보
• 대응책: DKIM 키 주기적 변경(30일 이하 주기) 및 사용자 교육(수상한 링크 주의, URL 점검, 보고 문화 확산) 중요