Kant's IT/Issue on IT&Security
MailChimp 이메일 마케팅 플랫폼을 악용한 피싱 및 사회공학 공격 분석
Kant Jo
2025. 5. 9. 22:55
Hackers Exploit MailChimp Email Marketing Platform Using Phishing and Social Engineering Tactics
Hackers Exploit MailChimp Email Marketing Platform Using Phishing and Social Engineering Tactics
Cybercriminals are increasingly targeting MailChimp, a popular email marketing platform, through sophisticated phishing.
gbhackers.com
- 공격 개요
- 주요 표적: MailChimp 이메일 마케팅 플랫폼 사용자 계정
- 공격 기법: 피싱, 세션 하이재킹, 정보 탈취형 악성코드(예: RedLine, Lumma), 사회공학
- 목표: 구독자 리스트 탈취, 브랜드 사칭, 악성 이메일 배포, BEC(비즈니스 이메일 침해) 공격 확산
- 공격 방식 및 피해 사례
- MFA 우회 기법
- 공격자는 RedLine, Lumma와 같은 정보 탈취형 악성코드를 활용하여 세션 쿠키를 탈취
- 이를 통해 OTP 기반 이중인증(2FA)을 우회하고 로그인 알림 없이 계정에 접근
- 유명인 및 기업 계정 탈취 사례
- 보안 전문가 트로이 헌트의 MailChimp 계정이 피싱으로 탈취되고, 구독자 명단이 수 분 내 유출
- 멕시코, 호주, 콜롬비아의 기업들이 최근 감염 사례로 보고됨
- 자동화된 피싱
- 공격자들은 교육, 마케팅, 전자상거래 등 보안 자원이 부족한 분야를 자동화 도구로 집중 공격
- 피싱 도메인, 가짜 로그인 페이지, 매크로 기반 악성 이메일을 자동으로 생성 및 배포
- MFA 우회 기법
- 보안 취약점 및 대응 미비
- OTP 기반 2FA의 한계
- MailChimp는 OTP 기반 인증을 채택하고 있으며, 이는 피싱에 취약한 인증 방식으로 지적됨
- 플랫폼의 브랜드 신뢰도 악용
- 신뢰받는 플랫폼이라는 점을 이용해 사용자들의 이메일 수신 신뢰도를 악용해 악성 URL 배포
- 반복적인 침해 사고
- 2023년 1월에도 유사한 사회공학 공격으로 133개 고객 계정 침해 사례 발생
- 구조적인 보안 아키텍처 취약성과 제3자 접근권한 관리 부재가 반복적 침해 원인
- OTP 기반 2FA의 한계
- 보안 권고
- 피싱 방지형 인증 도입
- OTP 대신 FIDO 기반 패스키, 보안 키(예: YubiKey) 등 하드웨어 기반 인증 방식 채택 필요
- 계정 접근 감사 및 세션 관리
- 이상 로그인 감지, 세션 무효화 기능 도입
- 탈취 가능성이 있는 계정의 즉각적인 비밀번호 및 세션 재설정
- 제3자 API 접근 점검
- 통합된 외부 마케팅 도구 또는 자동화 시스템에 대한 접근권한 주기적 점검 및 최소 권한화
- 보안 인식 교육 강화
- 피싱 이메일의 전형적인 패턴, 도메인 확인 방법, MFA 우회 시나리오 등 교육 실시
- 피싱 방지형 인증 도입
- 결론
- SaaS 기반 플랫폼 신뢰도가 높은 만큼, 내부 보안 정책의 강화 없이도 외부 공격자에 의해 도구화될 수 있음
- 단순한 2FA 도입만으로는 현재의 고도화된 정보탈취형 악성코드 공격을 방어하기 어려움
- 기업은 제로트러스트 기반 접근통제, 세션 보호, API 보안 감사 등 다계층 보호 체계를 수립해야 함