아마존 SES 악용해 SPF, DKIM, DMARC 프로토콜과 같은 인증 검사 통과
공격자들, 오픈소스 ‘TruffleHog’ 유틸리티를 기반으로 구축된 봇 등 자동화된 공격 활용

[보안뉴스 원병철 기자] 아마존의 간편 이메일 서비스(SES)를 이용해 보안 필터를 우회하고 평판 기반 차단을 무력화하는 정교한 피싱 이메일을 발송하는 악용 사례가 급증하고 있다. 아마존 SES(Simple Email Service)는 높은 신뢰성을 바탕으로 거래 및 마케팅 메시지를 전달하도록 설계된 클라우드 기반 이메일 플랫폼이다. AWS의 다른 제품들과 원활한 통합이 가능한 것으로 잘 알려졌다.


[출처: gettyimagesbank]

카스퍼스키는 보고서를 통해 아마존 SES를 악용한 피싱 공격이 증가하고 있으며, 악성 사이트로 연결되는 링크를 유포한다고 밝혔다. 공격자들은 유출된 IAM 액세스 키를 통해 아마존 SES에 접근하는데, 그 이유는 개발자들이 깃허브 리포지터리, ENV 파일, 도커 이미지, 백업 및 공개적으로 접근 가능한 S3 버킷에 액세스 키를 노출하는 일이 잦기 때문이다.

특히 공격자들은 유출된 비밀 정보를 스캔하도록 설계된 오픈소스 ‘TruffleHog’ 유틸리티를 기반으로 구축된 봇을 사용한다. 이렇게 자동화된 공격을 사용해 비밀 정보를 스캔하고, 권한 검증 및 이메일 배포를 간소화함으로써 전례 없는 피싱 공격을 진행할 수 있게 된 것이다.

아마존 SES를 사용하는 공격의 무서운 점은 사용자와 보안 시스템 모두가 신뢰하는 인프라를 악용한다는 점이다. 아마존 SES를 사용하면 공격자들은 SPF, DKIM, DMARC 프로토콜과 같은 인증 검사를 걱정할 필요가 없으며, 피싱 이메일을 발송하는 IP 주소 차단도 걱정할 필요가 없다.

또한 아마존 SES는 사용자 지정 HTML 템플릿을 지원하는데, 공격자는 이를 이용해 더욱 그럴듯한 이메일을 제작할 수 있다. 공격자들은 피싱 메일이 좀 더 실제처럼 보이기 위해 이메일 대화 내용을 조작하고, 재무 부서를 속여 대금을 지급하도록 유도하기 위해 가짜 청구서도 보냈다.

카스퍼스키는 최소 권한의 원칙에 따라 IAM 권한을 제한하고, 다단계 인증을 활성화할 것을 권장했다. 아울러 키를 정기적으로 교체하고 IP 기반 액세스 제한 및 암호화 제어를 적용할 것을 강조했다.

[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>