로빈후드 사기 이메일, 어떻게 진짜처럼 보였을까? 전문가 분석

로빈후드 피싱 이메일, 진짜와 거의 동일하게 보낸 사기 수법

지난주 로빈후드 사용자들은 매우 정교한 피싱 이메일을 받았다. 이 메시지는 로빈후드에서 발송된 것처럼 보였으며, 인증된 헤더, 올바른 서명, 실제 발신자 주소, 인증된 이메일 서버를 사용했다.不仅如此, 스팸 필터조차도 이를 감지하지 못했다. 특히 [email protected]에서 발송된 이메일은 구글 메일에서 로빈후드의 이전 보안 알림과 동일한 대화 스레드로 자동 분류되었다.

단지 내용만 사기였던 이메일

이메일의 유일한 사기 요소는 로그인 정보를 요구하는 피싱 링크뿐이었다. 일요일 밤까지도 해커들은 로빈후드의 자체 알림 시스템을 악용해 공격을 지속했다. 이 공격 방식은 곧 소셜 미디어에서 화제가 되었고, 보안 연구원들은 이를 '꽤나 아름답다'고 표현하며 그 이면을 경고했다.

보안 연구원의 분석: '꽤나 아름답지만 사악한' 공격

보안 연구원 Abdel Sabbah는 이 사건을 분석하며 "꽤나 아름답다(but sinister connotation)"고 설명했다. 그는 이 공격이 구글의 '닷 트릭'과 로빈후드의 보안 미비로 가능했다고 밝혔다.

공격의 핵심: 구글의 '닷 트릭'과 로빈후드의 허점

해커는 먼저 구글의 '닷 트릭'을 활용했다. 구글 메일은 @ 기호 앞의 닷(.)을 무시하기 때문에 [email protected], [email protected], [email protected] 등이 모두 동일한 인박스로 라우팅된다. 반면 로빈후드는 이러한 닷이 포함된 주소를 정상 주소로 인식하지 못해, 해커는 로빈후드 고객 이메일의 닷이 포함된 변형을 사용했다.

다음으로 해커는 새로운 계정의 장치 이름을 악성 HTML 코드로 설정했다. 로빈후드가 '알 수 없는 활동' 알림 이메일을 발송할 때, 이 템플릿은 장치 이름을 그대로 삽입했으며, 이로 인해 악성 HTML이 렌더링되었다.

결과적으로 이메일은 DKIM, SPF, DMARC 인증까지 모두 통과한 상태로, "진짜 [email protected]에서 발송된 것처럼 보이며, 피싱 링크를 포함하는 보안 알림"으로 위장되었다. 이 링크는 사용자의 로그인 정보와 2차 인증 코드를 탈취하는 악성 웹페이지로 연결되었다.

최종 목표: 고객의 계정 탈취와 자금 인출

이 공격의 최종 목적은 로빈후드 계정에서 고객의 자금을 빼내는 것이었다. 대부분의 피싱 campaña와 마찬가지로, 이 공격도 사용자의 금전적 손실을 노리고 있었다.

유사한 과거 사례: 구글도 같은 공격에 노출

2025년 4월, 이더리움 네임 서비스(ENS) 수석 개발자 Nick Johnson은 구글 자체에서 발송된 것처럼 보이는 피싱 이메일에 대한 유사한 공격을 문서화했다. 해커들은 구글의 인프라를 악용해 [email protected]에서 DKIM 서명된 피싱 이메일을 발송했다. 이 사건은 이번 공격과 동일한 교훈을 남겼다: 아무리 인증된 이메일처럼 보여도 링크를 클릭하지 마라.

안전 수칙: 이메일 링크 클릭 전 반드시 확인하라

일부 암호화 영향력자들은 이러한 정교한 피싱 이메일에 대해 경고했다. 리플의 David Schwartz는 "로빈후드에서 발송된 것처럼 보이는 모든 이메일은 피싱 시도"라고 강조했다. 그는 Sabbah의 분석을 인용하며 "매우 교묘한 공격"이라고 설명했다.

"어떤 이메일이라도 링크를 클릭하기 전에 반드시 발신자 주소와 인증 여부를 철저히 확인하라. 전통적인 피싱 방지 방법(발신자 도메인 확인, 인증 실패 여부 등)은 이번 공격에서 소용이 없었다."

이번 사건을 통해 얻은 교훈은 단순하다: 아무리 인증되고 정교한 이메일일지라도, 링크를 클릭하기 전에 한 번 더 의심하라. 보안은 언제나 사용자의 주의에서 시작된다.