구글 사칭 전화와 이메일, 인증 코드 동기화로 13만 달러 피싱 피해 사례

 (bewildered.substack.com)
1P by GN⁺ 12시간전 | ★ favorite | 댓글 1개
  • 한 사용자가 구글 지원팀을 사칭한 전화legal@google.com을 가장한 이메일로 인해 피싱 피해를 입은 경험 공유
  • Google Authenticator의 클라우드 동기화 기능으로 인해 공격자가 2차 인증 코드까지 탈취, Coinbase 계정 해킹 및 암호화폐 절도 발생
  • 40분 만에 8만 달러 상당의 암호화폐(현재가치 약 13만 달러) 도난 경험
  • Gmail의 보안 취약점과 Authenticator의 기본 동기화 설정이 피해 심화 원인으로 지적됨
  • 비밀번호 주기적 변경, 인증 코드 공유 금지 등 기본 보안 수칙 준수와 클라우드 동기화 신중 설정 조언

전화 한 통으로 시작된 사기 사건

  • 6월 19일, 'Pacifica, CA' 지역번호(650)로부터 전화 수신
  • 상대방은 구글 지원팀 소속이라고 주장하며 신고된 계정 양도 요청(심지어 사망진단서 및 ID 첨부)을 언급
  • 실제와 같은 legal@google.com 주소로 온 이메일(발신자 명의 Norman Zhu) 발송, 공식 이메일처럼 보여 신뢰 유도
  • iOS Gmail 앱에서 @google.com 발신 표시와 브랜딩, 사건번호 등으로 정교하게 위장
  • 사망 여부 검증을 핑계 삼아 임시 인증 코드 확인 요청, 순간적인 불안감에 코드 전달

공격자의 Coinbase 계정 접근

  • 통화 말미, Google Advanced Security 등록 유도 등의 안내로 피해자 안심 유도
  • 피해자는 보안을 강화했다고 생각했으나, 이미 공격자는 Gmail, Drive, Photos 및 동기화된 Authenticator 코드에 접근 권한 확보
  • Google Authenticator의 클라우드 동기화를 통해 2FA 코드까지 탈취된 것이 결정적
  • 곧이어 공격자는 Coinbase 계정에 로그인, 암호화폐 탈취 시작

암호화폐 탈취 및 피해 상세

  • 약 40분 동안 공격자는 여러 거래를 통해 ETH 및 기타 토큰을 분산 이체 후 전액 탈취
  • 당시 금액으로 약 8만 달러, 현재 기준 약 13만 달러 상당 손실
  • 2시간 뒤 Coinbase 잔액 확인 시 잔고가 거의 0으로 변해 충격 경험
  • Google 계정에 나타난 새로운 기기 접속 이력, 복구 전화번호 변경 등을 추가로 확인

보안 전문가도 당할 수 있었던 이유

  • IT 업계에 종사하며 본인도 인증 경험 설계자라고 밝힘
  • 보안에 대한 높은 인식이 있었지만, 위조 이메일과 긴급 상황 연출로 인해 피싱 대응에 실패 경험

구글의 2가지 핵심 보안 실책

  1. ‘@google.com’ 위조 발신 이메일 필터링 실패
    • 이메일 From 필드 스푸핑이 가능해 공식 이메일처럼 보였던 점, iOS Gmail 앱에서는 전체 헤더 확인이 불가능해 즉시 검증 어려움
  2. Google Authenticator의 클라우드 동기화 기본 활성화
    • 동기화된 2FA 코드를 공격자가 획득, 실제 2단계 인증의 실효성 무력화
    • 이메일, 2FA, 문서, 사진 등 디지털 자산 전체가 한 번에 노출되는 결과
  • 참고 : Gmail과 Google Authenticator를 함께 사용하는 사용자에겐 2FA가 본질적으로 안전하지 않을 수 있음에 대한 경고

보안 수칙과 조언

  • 오늘 바로 비밀번호 변경, 주기적 갱신 (16억 개 이상의 비밀번호 유출 사고 지속)

  • 인증 코드 절대 공유 금지 (공격자는 ‘긴급’과 ‘불안’으로 심리 조작)

  • Google Authenticator 클라우드 동기화 신중 사용

    • 복구 편의성은 증대되지만 관리상 위험도 동반

  • 의심스러운 전화에 항상 경계

    • 불안할 경우 즉시 종료 후 공식 경로 재접속 권장

  • 본 사건이 경각심 제공 및 유사 피해 방지에 도움이 되길 희망

부연 설명 및 정황

  • 공격자는 최근 16억 비밀번호 유출 리스트에서 비밀번호를 이미 소지했을 가능성 존재
  • 피해자 스스로 동일 비밀번호 미사용 및 비밀유지했으나, 비밀번호 장기 미변경 상태였음
  • 공격자가 복구코드를 받으면서 2FA 인증을 우회한 것으로 추정

피싱 이메일 관련

  • legal@google.com 명의 이메일 다수 수신, 그러나 공격자가 모든 이메일 흔적과 휴지통, 복구기록까지 완전 삭제
  • 단, 일부 이메일을 phishing@google.com으로 포워딩한 뒤 계정 권한 회수 과정에서 반송된 메일을 통해 원문 보관 성공
  • phishing@google.com 이메일 주소는 실제 존재하지 않거나 외부에서 접근 불가
  • 원본 이메일은 ‘Google Recent Case Status’ 제목, 공식 포맷 및 네이밍, 내부 검토 안내, 임시 비밀번호 보관 등 안내문으로 구성
  • ‘Norman Zhu’라는 지원팀 명의, 사건 번호, 부서 정보 포함

전체 요약

  • 정교한 사칭 공격플랫폼의 구조적 결함이 결합되어 발생한 대규모 계정 탈취 및 암호화폐 피해 사례임
  • 2차 인증도 안전지대가 아님을 상기시켜 주는 사례
  • 전통적 보안 상식 외에도 플랫폼 레벨의 정책 검토서비스별 차등 보안설정 필요성 부각
GN⁺ 12시간전  [-]
Hacker News 의견

  • 지난 금요일에 나도 비슷한 전화를 받았음, 합법적으로 들렸음, 내가 쓰는 꿀팁은 티켓 번호랑 공식 콜백 번호를 요구해서 진짜 회사 번호인지 확인하는 방법임, 만약 진짜면 대화를 이어가도 되고, 아니면 그냥 안심할 수 있음, 전화를 건 사람은 ‘공식임을 증명해주는 이메일을 보내줄 수 있다’고 했지만 콜백 번호를 알려주지 않아서 바로 사기임을 알게 됨, 이메일 주소나 전화번호는 얼마든지 스푸핑 가능함, 발신자 번호가 정상이어도 절대 신뢰하지 말고 항상 공식 번호로 다시 전화해서 확인해야 함

    • 나는 아예 전화번호조차 직접 받지 않고, 항상 상대방에게 회사 이름과 지점을 물어본 후, 직접 회사 공식 웹사이트(예: https://amazon.com)에서 번호를 찾아서 전화함, 조금 불편하지만 훨씬 더 강력한 보안임

    • 공식 번호도 검색해서 확인할 때 주의해야 함, 가짜 번호가 진짜처럼 보이는 웹사이트에 검색 결과로 섞여 있을 수 있음, 정말이지 총칼 없는 전쟁터임

    • ‘정상 번호라도 콜아이디는 의미 없다’라는 얘기대로, 나도 몇 년 전에 은행이 전화해서 내 신원 확인을 위해 개인정보 전달을 요구했을 때 이 말을 해준 적 있음

    • ‘공식 전화번호’가 좋은 아이디어지만, 만약 공격자가 SS7에 접근할 수 있다면 소용없는 방식임

  • 반복해서 기억해야 할 점들임

    • 대형 회사의 고객 지원팀이 직접 전화를 거는 일은 절대 없음

    • 누가 전화나 이메일로 코드 요청 시, 문자로 받은 인증 코드를 절대 알려주지 말 것, 메시지에도 대개 그렇게 적혀 있음

    • 중요한 개인정보를 한 개의 비밀번호만으로 보호하지 말 것, 구글 계정에 연동된 Google Authenticator를 비밀번호 관리로 쓰지 말고, 1Password 같은 서드파티 사용 추천함

    • 은행·투자용 이메일과 세상에 알려진 이메일은 반드시 분리해서 쓸 것, 크롬 프로필도 이메일별로 분리하고 확장 프로그램도 비밀번호 관리자만 남겨두기

    • 하지만 몇 주 전에 검색에 안 나오는 번호로 은행 지원팀이라며 전화 온 적 있음, 문자로 온 인증 코드를 불러달라 해서 거부했더니 온라인 뱅킹이 차단되고, 실제 우편으로 ‘지원 요원과 소통하지 않아 자동으로 계정이 업그레이드 될 수 없다’는 강력한 편지가 옴, 결국 앱에서 새 계정 만들고 그들에게 전화해 문자 코드를 다시 읽어줬더니(!) 그게 곧바로 신규 계정 인증의 유일한 절차였음, 전세계 100대 은행이 이런 운영 방식임, 기업들이 오히려 사기에 훈련시키는 느낌임, 독일계 은행이었으나 Chase도 똑같이 전화로 OTP 코드 요청하는 습관이 있음

    • Google Nest Thermostat 에너지 절감 설정 해제 요청 시 고객 지원이 인증 코드를 요구한 적 있음(이 설정은 전기회사가 절감 목적으로 온도를 제어하는 기능), 나는 ‘메시지에 알려주지 말라고 써 있다’고 거부하자 지원은 그냥 다른 방법을 안내함, 요청 자체가 이상했음

    • Chase 은행이 최근까지도 전화로 사기 알람 관련 연락 시 이런 코드 요청함, 정말 짜증나는 부분임

    • 나는 내 핸드폰을 평소 ‘방해금지 모드’로 둠, 직계 가족 5명만 벨이 울리게 해둠, 모르는 번호는 절대 받지 않고, 정말 연락이 급하면 음성 메시지를 남기게 함, 전화 받을 때는 순간적으로 냉정하게 판단을 못하게 되는 것 같음, 도로에서 길 묻고 시계 훔치는 수법과 비슷함, 보안이 주목적은 아니었으나 뱅크팁과 해커에게 노출이 안 된다는 점에서 좋음

    • 아쉽게도 일부 콜센터에서는 본인 확인용으로 실제로 전화를 걸면 문자/이메일로 코드를 보내주고, 그걸 다시 읽게 하는 방식을 시행하는 곳이 있음

  • 이번 공격은 단순한 소셜 엔지니어링으로 보이고, 이메일 스푸핑이 없었던 것 같음, 실제로 구글에서 공식적으로 발송한 이메일일 가능성이 높음, 추정컨대 공격자는 공식 구글 계정 탈환 절차를 요청했고 그 절차로 구글에서 코드를 포함한 이메일이 발송됨, 피해자가 이 코드를 불러준 덕분에 공격자가 구글 계정(그리고 Gmail, Google Drive에 백업된 인증 앱까지)에 완전히 접근한 것 같음, 이메일 원본 헤더를 한 번 보고 싶음

    • legal@google.com 으로 발송된 이메일은 진짜 같지 않음, 첫 문단과 두 번째 문단 시작 문장에서 문법 실수도 있고, 법무팀 이메일에서 이런 기본적인 오타와 문장 부호 오류가 있는 것은 불가함, 진짜 공식 이메일이라면 반드시 교정이 됐을 텐데, 가짜임

    • 이메일이 공격자가 보낸 것이었다면 왜 피해자가 코드를 알려줄 필요가 있었나 이해가 안 됨

    • ‘Coinbase 비번 재설정’이라니, Gmail을 은행, 암호화폐, 도메인 등 중요 서비스와 연동해 쓰는 건 정말 위험함, 나도Google 비밀번호를 아는데 2차 인증이 막혀서 접근을 못 하고 있는 상황임

  • 모르는 번호면 항상 의심해야 함, 뭔가 이상하면 전화를 끊고 직접 회사에 연락해서 대화를 다시 시작하는 게 좋다는 조언에 동의함, 생각해보면 전화가 올 거라 예상하지 않았을 때는 전화를 거의 안 받으며, 그 덕분에 많은 사기를 피한 것 같음, 구글이 Authenticator 코드를 클라우드에 동기화해서 결국 공격자가 Gmail, Drive, Photos, 인증 앱에 모두 접근한 부분은 실망스러움

    • 보통은 모르는 번호 전화는 안 받는데 며칠 전 ‘Amazon 직원’이라고 사칭해서 내 계정으로 60만원 짜리 아이폰이 결제됐다고 전화 옴, 정체 확인하겠다면서 ‘최근 내가 주문한 상품이 뭔지’ 물었더니 계속 오리무중, 20분씩 통화하다 결국 그쪽에서 욕설하고 끊음, 동시에 주변에서도 같은 사기 전화를 하는 심한 소음이 들렸었음, 이렇게 오래 통화한 이유를 도저히 모르겠음

    • 이런 사기에서 가장 명확한 빨간불은 ‘지원팀이 먼저 연락온다’는 점임, 정작 급한 일로 진짜 지원팀에 연락하고 싶으면 연결이 안 되는데 말임

    • 요즘 내 규칙은 모르는 번호는 무조건 음성사서함으로 넘김, 중요하면 메시지랑 번호를 남기라고 함, 정말 필요하면 내가 다시 전화함, 의료기관이나 배송 등 꼭 받아야 하는 경우만 예외임, 이런 식으로 걸러내고 있음

    • 나는 1~2초 룰을 씀, 전화 받아서 헬로라고 한 다음 1~2초 내에 답이 없으면 끊음, 스캐머들은 전화 큐에서 연결되어 오기 때문에 약간의 대기 시간이 있고, 스크립트도 익혀야 해서 반응이 느림, 일반 대화와 다르게 준비 시간이 걸림, 바로 반응 못 하는 전화는 스팸일 확률이 큼

    • 내 폰뿐 아니라 부모님 폰도 모르는 번호는 아예 차단 설정함, 수시로 이메일 사기 믿지 말라고 교육하지만 그래도 매년 한두 번씩 엄마가 ‘진짜라고 생각한 사기 이메일‘ 때문에 당황해하며 연락해 옴

  • 전화 안 받는 것이 내 기본 원칙임, 실제로‘방해금지 모드’ 켜두고 즐겨찾기 번호만 벨소리를 허락함, 진짜 급한 사람(합법이든 사기든)은 음성 메시지를 남기게 두면 됨, 해당 회사라 주장하면 직접 내가 확인함, 이런 사례는 내가 요청하지 않은 전화는 아무리 그럴듯해도, 이야기조차 시작하지 않는 게 맞다는 걸 보여줌, 그리고 Google 계정에 절대 민감 정보를 두지 않음, 기술 업계 경험이 있다면 그게 얼마나 위험한지 모두 알 것임

    • 나도 스팸콜 위험성은 잘 알고 있음, 굳이 설명하지 않아도 됨, 하지만 ‘은행 보안팀’ 같은 곳에서 정말 사기 관련 경고 전화를 해줄 수도 있다는 전제 자체를 너무 쉽게 배제하는 듯함, 내가 은행번호를 인지하지 못했을 수도 있고 그게 정답인지도 확실하지 않음

    • 정부나 은행에서 진짜 중요한 일로 전화가 온 경험 있음, (세금 보고 실수 등), 그래서 절대로 안 받는 게 정답은 아니라고 봄, 참고로 유럽은 음성 사서함을 거의 쓰지 않음, 미국만의 문화 같음

  • 이메일 주소 스푸핑 없이도 암호화폐 탈취는 얼마든지 가능함, 범죄자들이 총으로 협박해서 시드를 요구할 수도 있음, 실제 이런 사례가 꽤 있음, 그래서 전통 은행이 암호화폐보다 훨씬 더 안전함, 이런 경험을 공유한 작성자는 잘했지만 암호화폐가 안전한 자산 저장 수단이 아니라는 점이 진짜 교훈이 되었으면 함

    • 그래도 총 들고 집까지 찾아가는 것보다 전화 돌리는 방식이 훨씬 더 스케일러블함

    • 그래도 Hacker News 답게, 총 들고 협박이 애초에 이슈가 아니라는 의견임

    • 암호화폐 보안에는 멀티시그가 유용함, 예를 들어 2-of-2에서 은행 등 신뢰할 수 있는 기관과 같이 서명권을 공유하면 보통 은행보다 보안이 나아짐, 3-of-5 등 여러 키를 활용하면 하드웨어 토큰에 잘못된 핀 입력 시 키가 삭제되는 등 강제 협박에도 대비할 수 있음

    • 멀티시그 지갑이 해결책임, 또 여러 명이 동의해야 출금되는 구조는 씀씀이에 대해 브레이크 효과도 주며, 여러 명이 관련자일 때 오히려 위험할 수 있고, 오프라인 콜드월렛을 쓰면 해킹에 몇 시간씩 걸려 시간벌이도 가능함

    • https://xkcd.com/538/ 만평도 참고할 만함

  • 가장 결정적인 질문은 왜 공격자가 은행/연금/신용카드까지 털지 않았는가임, 현실적으로 은행은 고객 계좌 해킹에 훨씬 민감하게 신경 씀

    • ‘은행이 신경 쓴다’는 말의 진짜 의미는, 예를 들어 합리적으로 조치를 취했다면 계좌가 털렸을 경우 보상을 해준다는 정책임, 이에 따라 은행 입장에서도 큰 금액 사기에 훨씬 신경 씀, 참고로 10개월 전만 해도 Coinbase-Google Authenticator 조합이 최고의 보안이라고 했던 Reddit 스레드가 있음 코인베이스 해킹 사건 Reddit 쓰레드

    • 대신, 이런 이유로 은행 등에서는 필수적으로 잠금 기능이 심하게 들어간 스마트폰 앱만으로 뱅킹하도록 강제하는 것도 문제임, 너무 고객 스스로를 못 믿는 분위기와 책임 강요 사이의 중간점이 거의 없음

    • 은행이나 증권 계좌에서 이체엔 시간이 걸림, 그 시간 동안 사기를 알아차려 신고하면 계좌가 동결될 수 있으므로 즉각적 손실을 막기 쉬움

    • 사실 은행이 거기에 딱히 신경 쓰지 않는다는 의견도 있음

  • 사건 전개가 애매해서 이해가 잘 안 됨, 단순히 2FA 코드만으로 모든 걸 털었단 거면 정말 심각한 문제임, 흘러간 비밀번호 때문일 수도 있고, 비밀번호 재사용 때문인지, 아니면 그냥 구글 계정이 노출된 상황인지도 궁금함, 만약 2FA 코드만으로 구글 계정 → 인증 앱 → 비밀번호 관리자까지 다 뚫렸다면 연쇄적으로 다른 서비스 2차 인증까지 무너질 수 있음, 이 과정에서 비밀번호 재사용이 있었는지 여부가 제일 궁금함, 참고: 나는 Google에서 일하지만 보안팀은 아님

    • 내 생각엔 공격자가 내 비밀번호를 이미 갖고 있었고, 최종적으로 전화로 불러줬던 복구 코드만 필요했던 것 같음, 비밀번호를 공유하지도 않고 재사용도 안 했지만 오래 변경하지는 않았음

    • 비번이 있어도 이메일과 2FA 코드를 통제하면 비밀번호 재설정으로 모든 계정 장악이 가능함

  • 글에 구체적인 기술 설명이 부족한데, 2025년이 되어도 Google이 ‘비슷해 보이는’ @google.com 이메일을 제대로 차단 못 한다는 게 우려스러움, Unicode 스푸핑이 원인일지, 아니면 DKIM 등 인증이 없거나 계정 자체가 털렸던 것인지도 불분명함, 전체적으로 말이 안 맞는 상황임

    • Unicode 도메인 네임 아이디어 자체가 제대로 된 적이 없는 것 같음, 현실적으로 이런 기능을 쓰는 건 대부분 사기꾼과 범죄자임, ICANN 고맙다고 비꼼

    • 해당 글에서 어떻게 google 도메인에서 이메일을 보낸 것처럼 보였는지 빠진 게 의문임, 본인이 보안업계라 말했으면서도 자세한 설명이 없는 점도 이상함

  • 'Coinbase 계좌에 수십만 달러를 넣어두지 말라'는 충고가 없더라는 점을 지적함

    • 나는 Coinbase와 망가진 하드디스크 두 군데에 암호화폐를 나눠 넣었었는데, 지금 하드디스크 복구가 안 되고 있음

    • 아예 암호화폐에 투자하지 않는 걸 권장함, 투기와 돈세탁 외엔 실질적 가치를 찾기 힘들고 위험 요소가 큼

답변달기