SendGrid 사칭 피싱 공격, 이메일 보안의 취약성 드러나

댓글에서는 SendGrid의 대규모 이메일 발송(Email at Scale)을 용이하게 하는 비즈니스 모델이 피싱 공격에 악용될 수 있다는 점을 지적한다. 특히, 합법적인 발송을 쉽게 하기 위한 시스템이 악의적인 행위자(Malicious Actors)에게도 동일하게 적용될 수 있다는 점을 강조한다. 이는 이메일 발송 서비스 제공업체가 직면한 딜레마(Dilemma)를 보여준다.

커뮤니티에서는 수신 메일 서버(Incoming Mail Server)에서 발신자 표시 이름(Display Name)과 실제 도메인 일치 여부를 확인하는 방법을 제안한다. 하지만, 브랜드 이름(Brand Name)이 일반적인 이름에 포함되거나, 발신 도메인이 다양할 경우, 또는 무해한 사칭(Innocuous Impersonation)이 빈번하게 발생할 경우 이 방법의 효과가 떨어진다는 점을 지적한다. 특히, SPF 및 DKIM 검증(Verification)을 통과하더라도 피싱 공격을 완전히 막을 수 없다는 점을 강조한다.

GSuite 사용자를 위한 대응 방안(Countermeasure)으로 Gmail 관리자 패널에서 규정 규칙(Compliance Rule)을 생성하는 방법을 제시한다. 구체적으로, 정규 표현식(Regex)을 사용하여 특정 발신자 및 도메인을 차단하거나 격리하는 방법을 설명한다. 이를 통해 공격자가 From 헤더(From Header)를 변경하더라도 사용자가 피싱 메시지를 인지하지 못하도록 할 수 있다.

댓글에서는 2단계 인증(2FA)이 WebAuthn을 제외하고는 피싱 공격을 완전히 막을 수 없다고 지적한다. 특히, SendGrid가 Twilio에 의해 소유되었고, Twilio가 SMS 또는 Authy App 기반의 2FA만을 지원하는 점을 비판한다. 이는 Twilio가 자사 제품의 보안 취약점을 인정하는 것을 꺼리기 때문일 수 있다는 의혹(Suspicion)을 제기한다.