요즘처럼 메일 한 통에 중요한 정보가 담겨있는 시대, 이메일 한가득 도착하는 스팸 메일, 귀찮기도 하고 짜증 나죠.
그런데 최근 보안 기업 Darktrace가 발표한 보고서에 따르면, 이 스팸 메일이 실제 해킹 공격의 전초전일 수 있다고 해요. 😨
🤔 "스팸 메일 몇 통쯤이야..."가 위험한 이유
이른바 스팸 봄빙(Spam Bombing)은 단순한 장난이 아니었어요.
해커들이 피해자의 이메일을 각종 뉴스레터나 마케팅 사이트에 무더기로 가입시켜 스팸 메일을 쏟아붓는 기법인데요,
그 목적은 아주 교묘합니다.
✔️ 이 공격의 핵심 흐름은?
- 💣 피해자 이메일에 수백~수천 개의 스팸 메일을 보냄
- 💬 이어서 IT 직원을 사칭한 피싱 메일을 전송 ("이상한 스팸이 많으시죠? 도와드릴게요!")
- 📞 Microsoft Teams 등을 이용해 화상 통화 요청
- 💻 통화 중 시스템 조작을 유도, 악성 행위 실행
와... 무섭죠? 이건 단순한 메일 공격이 아니라, 심리적 교란 + 소셜 엔지니어링 + 기술적 침투가 합쳐진 전형적인 복합 공격이에요. 😵
🧠 스팸 봄빙, 단순한 방해공작이 아니다!
Darktrace의 보안 전문가들은 이 기법이 단순히 ‘불편함’을 유도하는 게 아니라, 실제 공격 흐름을 숨기고,
보안 담당자들의 주의를 분산시키며, 로그 시스템이나 보안 도구의 과부하를 유도하는 데 사용된다고 지적했어요.
"스팸 폭탄은 공격의 끝이 아니라 시작이다." – Nathaniel Jones (Darktrace CISO)
특히 최근에는 뉴스레터 발송 플랫폼인 Mailchimp의 확장 도구인 Mandrill이 악용되었는데요,
이 도구는 마치 정상적인 마케팅 메일처럼 보이게 하고,
사용자의 행동 분석(메일 열람 여부, 클릭 여부 등)도 가능한 정밀한 도구예요. 🧪
🧩 공격자들은 어떤 기술을 썼을까?
- 📬 Mandrill + 사용자 맞춤화: 사이트명을 자동 삽입해 타겟팅된 메일처럼 보이게 함
- 🔗 커스텀 트래킹 도메인: 악성 링크를 정상 링크처럼 위장
- 💬 Microsoft Teams 사칭: “도와드릴게요”라며 접근 후 내부 침투
- 🧭 Reconnaissance(정찰 활동): 통화 직후 해당 PC에서 스캐닝 및 내부 네트워크 탐색 흔적 포착
🛡️ 우리 조직은 어떻게 대응해야 할까?
단순히 스팸 필터링만으로는 이 공격을 완전히 막을 수 없어요.
중요한 건 사용자 인식과 대응 프로세스 마련!
✅ 대응 체크리스트:
- 사용자 교육
- 갑작스러운 스팸 폭탄은 의심해야 합니다
- '도와준다'는 연락을 받은 경우 무조건 내부 IT팀에 이중 확인
- 정상적인 IT 대응 체계 확립
- 사내 공지 메일이나 공식 채널을 이용한 '진짜' IT 지원 확인 방법 공유
- 긴급 시 사용할 대체 소통 수단 마련(전화, 보안 메신저 등)
- 보안 도구 고도화
- 이메일 보안 게이트웨이 외에도 행동 기반 탐지 시스템 활용
- Mandrill, Sendgrid 등 자동화 플랫폼 사용 흔적도 모니터링
🔚 결론
스팸 메일은 더 이상 단순한 귀찮은 존재가 아닙니다.
그 뒤엔 "어디선가 누군가가 당신을 노리고 있다"는 시그널일 수 있어요. 👀
특히 IT팀을 사칭하는 공격은 심리적 방심을 유도하니,
항상 침착하게 ‘공식 확인 → 조치’ 루틴을 기억하세요! 🛡️