구글 앱시트(Google AppSheet)로 위장한 피싱 공격, 3만 개 페이스북 계정 탈취

본 사건은 구글의 노코드(No-code) 앱 빌더(App Builder)인 앱시트(AppSheet)의 알림 기능을 악용하여, 피싱 이메일을 대량으로 발송한 사례이다. 공격자들은 앱시트(AppSheet)를 통해 발송되는 이메일의 SPF, DKIM, DMARC 인증을 통과하여, 수신자의 신뢰를 얻었다. 이는 기존의 스푸핑(Spoofing) 방식의 피싱 공격과는 달리, 구글 자체 시스템(Google's Own System)을 활용하여 더욱 정교하게 위장했다는 점에서 주목할 만하다.

공격자들은 Netlify, Vercel, Google Drive 등 다양한 플랫폼을 활용하여, 여러 유형의 피싱 공격을 시도했다. Netlify를 통해 가짜 페이스북 로그인 페이지를 호스팅하고, Vercel을 통해 블루 배지(Blue Badge) 획득을 위장한 피싱 페이지를 운영했다. 특히, Google Drive를 통해 PDF 파일을 배포하고, PDF 내 링크를 통해 소켓 IO(Socket IO) 기반의 피싱 패널로 연결하는 등, 공격 기법이 고도화되었다. 탈취된 정보는 계정 정보, 2FA 코드, 신분증 사진 등, 계정 복구(Account Recovery)에 필요한 모든 정보를 포함했다.

공격자들은 텔레그램(Telegram) 봇을 활용하여, 피해자 정보를 실시간으로 수집하고 관리했다. @haixuancau_bot 및 @globalglobalglobalbot_bot과 같은 봇을 통해, 탈취된 데이터를 텔레그램 채널로 전송했다. 이러한 봇들은 피해자 데이터를 즉시 확인하고, 추가적인 공격을 수행하는 데 사용되었다. 텔레그램 봇을 활용한 데이터 유출은 공격의 효율성을 높이는 동시에, 공격자들의 운영 방식(Operating Method)을 파악하는 데 중요한 단서를 제공했다.

Canva로 제작된 PDF 파일의 메타데이터에서 베트남 이름인 PHẠM TÀI TÂN을 발견하고, 그의 페이스북 프로필과 웹사이트를 추적하여 공격 조직의 배후를 특정했다. 또한, 베트남어 개발자 코드가 피싱 페이지에 포함되어 있고, 봇의 이름에서도 베트남어적 특징이 나타나는 등, 여러 증거를 통해 베트남 기반의 공격 조직임을 확인했다. 이러한 상세한 분석(Detailed Analysis)은 공격의 배후를 밝히는 데 결정적인 역할을 했다.

이번 공격으로 약 3만 개 이상의 페이스북 계정이 탈취되었으며, 피해자들은 계정 잠금, 의심스러운 활동, 금전적 손실 등 다양한 피해를 입었다. 공격자들은 탈취한 계정을 재판매하거나, 추가적인 악성 행위에 활용했을 것으로 추정된다. 피해를 최소화하기 위해, 이메일 내 링크를 클릭하지 않고, 공식 웹사이트를 통해 로그인하며, 2단계 인증을 활성화하는 등, 보안 의식(Security Awareness)을 높이는 것이 중요하다.