Kaspersky는 최근 Amazon Simple Email Service(SES)가 신뢰받는 합법적 자원이라는 점을 악용해, 기존 보안 필터를 우회하는 정교한 피싱 이메일 발송에 점점 더 많이 사용되고 있다고 밝혔다. 최근 이러한 악용이 급증한 주요 원인으로는 AWS Identity and Access Management 접근 키가 GitHub 저장소, .ENV 파일, Docker 이미지, 백업, 공개 S3 버킷 등에서 대량으로 노출되고 있기 때문으로 분석된다. 공격자들은 TruffleHog와 같은 오픈소스 도구를 이용해 자동화된 방식으로 노출된 키를 수집하고, 권한 검증 및 이메일 발송까지 일련의 과정을 자동화하여 대규모 피싱 공격을 실행하고 있다.
이러한 공격은 DocuSign을 사칭한 문서 서명 알림, AWS에 호스팅된 피싱 페이지, 그리고 실제 이메일 스레드를 조작해 송장 사기를 시도하는 고도화된 비즈니스 이메일 침해(BEC) 공격 등 다양한 형태로 나타난다. Amazon SES를 활용하면 SPF, DKIM, DMARC 등 인증 절차를 우회할 수 있으며, SES를 통한 이메일 전체를 차단하는 것은 현실적으로 불가능해 방어가 더욱 어렵다. 공격자들은 Amazon SES뿐 아니라 다른 합법적 이메일 시스템도 지속적으로 악용 방안을 모색하고 있다.
Kaspersky는 기업들에게 IAM 권한 최소화, 다중 인증 활성화, 키 정기 교체, IP 기반 접근 제한 및 암호화 적용 등 보안 강화를 권고했다. Amazon 측은 노출된 자격 증명에 대한 보안 가이드라인을 안내하고, 서비스 약관 위반 신고 시 신속히 조치한다고 밝혔다. 또한 AWS Trust & Safety를 통해 악용 의심 사례를 신고할 수 있다고 덧붙였다.
요약
- Amazon SES가 최근 대규모 피싱 공격에 악용되고 있다.
- AWS 접근 키의 대량 노출이 공격 증가의 주요 원인으로 지목된다.
- 공격자들은 자동화 도구로 키를 수집해 정교한 피싱 이메일을 발송한다.
- SES를 통한 이메일 차단이 어려워 방어가 복잡해지고 있다.
- Kaspersky와 Amazon은 권한 최소화, 다중 인증 등 보안 강화를 권고했다.
Reference
※ 이 글은 생성형 AI(gpt4.1)에 의해 요약되었습니다.