받은 편지함을 훑어보며 진짜 정보와 잡음을 구분하려 애쓰고 있을 겁니다. ‘처리해야 할 송장 알림’, ‘익숙한 서비스의 계정 재확인 요청’. 겉보기엔 그럴듯해 보이죠? 하지만 실제로는 전혀 그렇지 않습니다. 발송한 놈들은 합법적인 사업에는 관심도 없고, 그저 여러분의 계정 정보를 훔치거나 그 이상을 노릴 뿐입니다. 이런 공격이 새로 생긴 건 아니지만, 그 규모가 달라지고 있습니다. 많은 분들이 합법적인 소통에 사용하는 아마존의 간단한 이메일 서비스(SES)가 보안 필터를 우회하려는 피싱 공격범들의 주요 수단으로 떠오르고 있다는 겁니다. 솔직히 말해, 이 방식이 너무나 잘 통하고 있습니다.
제가 이런 종류의 일을 20년 가까이 다뤄왔습니다. 수많은 유행이 나타났다 사라지는 것을 봤고, 기업들이 최신 AI라는 허울 좋은 포장지로 오래된 문제를 덮으려 하는 것도 봤습니다. 하지만 이번 사안은요? 이건 합법적인 서비스가 악당들의 편리한 공격 경로가 되는 전형적인 사례이며, 근본적인 문제는 너무나 오래된 것, 바로 ‘노출된 계정 정보’입니다.
‘신뢰받는’ 이름값
여기 숨겨진 추악한 비밀이 있습니다. 아마존 SES는 본질적으로 ‘신뢰받는’ 존재라는 겁니다. SES에서 보낸 이메일은 SPF, DKIM, DMARC와 같은 인증 절차를 통과해야 합니다. 왜냐고요? 그게 바로 아마존이기 때문입니다. 아마존은 그 명성을 지켜야 하니까요. 피싱 공격범들은 이 점을 알고 있습니다. 그들이 멍청한 건 아닙니다. 그저 기회를 노릴 뿐이죠. SES를 이용함으로써, 의심스러운 신원 불명의 발송자를 잡아내도록 설계된 보안 장벽을 우회하는 겁니다. 마치 유명인의 보증으로 사이비 상품을 파는 것과 같아요. 제품은 쓰레기일지라도, 그 이름값만으로 사람들을 현혹시키는 거죠.
어떻게 여기까지 왔나?
카스퍼스키 연구원들이 경종을 울리고 있으며, 그들의 보고서는 명확한 원인으로 ‘공개적으로 노출된 AWS IAM(Identity and Access Management) 액세스 키’를 지목합니다. 이 키들을 건물 전체를 통제하는 마스터 키의 디지털 버전이라고 생각해보세요. 만약 누군가 GitHub에, 잊힌 .env 파일에, 혹은 개인적이라고 생각했던 백업 속에 이런 키들을 아무렇게나 내버려 둔다면, 악당들은 손쉽게 내부로 침입할 수 있는 자유 통행증을 얻게 되는 셈입니다. TruffleHog와 같은 봇들은 끊임없이 이런 공개된 공간을 크롤링하며 이 키들을 탐지합니다. 일단 이메일 발송 권한과 충분한 한도를 가진 키를 발견하면, 그들은 바로 작전에 돌입하는 겁니다.
“키의 권한과 이메일 발송 한도를 확인한 후, 공격자들은 대량의 피싱 메시지를 유포할 준비를 갖추게 됩니다.”라고 카스퍼스키는 설명합니다.
정말 간소화된 절차입니다. 키를 찾고, 권한을 확인하고, 이메일을 날립니다. 그들은 ‘전례 없는 악용’이라고 말합니다. 충분히 납득할 만한 설명입니다. 자신의 불안정한 메일 서버를 직접 구축하는 수고를 왜 하겠습니까? 아마존의 것을 빌려 쓰면 되는데, 심지어 다른 사람의 손상된 계정을 무단으로 사용한다면 거의 무료거나 아주 싸게 이용할 수 있으니까요.
사기꾼들의 새 무기고
특히 분노하게 만드는 점은 이 피싱 이메일들의 품질입니다. 더 이상 형편없이 작성된 스팸 메일 수준이 아닙니다. 이 공격자들은 실제 서비스와 놀라울 정도로 똑같이 보이는 맞춤형 HTML 템플릿을 제작하고 있습니다. 그럴듯한 로그인 과정을 구축하고 있죠. DocuSign 알림을 가장해 AWS에 호스팅된 피싱 페이지로 유도하거나, 조작된 이메일 스레드를 통해 가짜 송장을 섬뜩할 정도로 합법적으로 보이게 만드는 정교한 BEC(Business Email Compromise) 공격까지. 재무팀 여러분, 여러분이 정면 표적입니다.
IP 차단만으로는 부족한 이유
그렇다면 해결책은 무엇일까요? 명백해 보이는 방법, 즉 문제가 되는 서버의 IP 주소를 차단하는 것은 현실적으로 불가능합니다. SES의 IP 범위를 차단하면 피싱 공격범들뿐만 아니라, 아마존 고객들의 합법적인 이메일까지 차단하게 되는 셈입니다. 이는 결코 실행 가능한 선택지가 아닙니다. 전체 우물물을 퍼내서 독 한 방울을 막으려는 것과 같습니다.
진정한 해결책: 다층 방어
카스퍼스키의 권고는 예상 가능한, 합리적인 조언입니다. IAM 권한에 대한 ‘최소 권한 원칙’ 적용, 모든 곳에 다중 인증(MFA) 사용, 정기적인 키 교체, 그리고 암호화. 이것들은 기본적인 사항들입니다. 만약 여러분의 조직이 이런 조치들을 철저히 시행하지 않고 있다면, 이미 문을 활짝 열어둔 셈입니다. 여기서 문제는, 이러한 기본 원칙의 결여가 대규모로, 특히 광범위한 퍼블릭 클라우드 인프라 안에서 발생할 때, 이러한 온상이 만들어진다는 것입니다. 단순히 자신의 집을 안전하게 지키는 것을 넘어, 이웃집 문이 잠겨 있지 않으면 우리 동네 전체가 덜 안전해진다는 사실을 인식해야 합니다.
이것이 SES의 특정 악용 사례를 넘어, 클라우드 환경에서의 출처 추적 및 격리라는 지속적인 싸움을 보여줍니다. 아마존 SES처럼 보편적이고 유연한 서비스가 있다면, 필연적으로 악용의 표적이 될 것입니다. 진짜 취약점은 서비스 자체에 있는 것이 아니라, 그 계정 정보가 대규모로 손상되고 오용되도록 허용하는 인간적, 절차적 실패에 있습니다. 우리는 언제나처럼, 최소한의 저항 경로를 찾는 악당들에게 뒤처져 있습니다. 그리고 지금, 그 경로는 손상된 AWS 키와 아마존으로부터 온, 겉보기엔 무해한 이메일을 똑바로 관통하고 있습니다.
누가 실제로 돈을 벌고 있는가?
잡음을 걷어냅시다. 누가 이 특정 혼돈의 브랜드에서 이득을 얻는 걸까요? 당연히 위협 행위자들입니다. 계정 정보를 훔치거나, 사람들을 속여 결제를 유도하거나, 손상된 계정 접근 권한을 판매하여 돈을 벌고 있습니다. 그런데 또 누가 있을까요? 이런 침해를 탐지하는 도구를 판매하는 보안 회사들, ‘최소 권한’을 구현하도록 기업을 돕는 컨설턴트들…
