피싱 이메일 분석 - DHL 사칭 개인정보 및 관세 납부

저는 제가 개발한 프로그램이나 웹사이트에 대한 문의를 받을 목적으로 contact@pnal.dev 이메일 주소를 운용하고 있습니다. 실제로 지금 보시는 블로그의 하단에 적혀있는 문의 주소도 동일한 것을 알 수 있습니다. 프로그래밍 활동을 제외하고 사용하지 않는 이메일입니다. 물론, 프로그래밍과 관련된 목적로 누군가에게 연락할 땐 이 이메일을 쓰기도 합니다. GitHub에 문의 메일을 보내거나, 잘 만든 오픈소스 프로젝트의 개발자에게 감사의 메일을 보내는 등의 활동 등...

서론이 길어졌는데, 이렇게 목적 외로 쓰지 않는 이메일 주소로 며칠전에 DHL을 사칭한 피싱 메일이 오더니, 오늘도 또 왔습니다. 둘 모두 독일어를 사용하여 온 것 보니 독일쪽 암시장(?)에 제 메일 주소가 풀린 것 같습니다. 근데 보통의 피싱메일처럼 허술하지 않아서 개인적으로 분석해보았습니다.

메일 1. Versandbenachrichtigung: XXXXXXXXXX

저에게 온 첫 번째 DHL 피싱 이메일은 2023년 11월 4일 오후 4시에 위와 같은 제목으로 도착했습니다. XXXXXXXXXX 부분은 송장 번호로 추정되는 일련 번호였습니다.

독일어로 된 이메일 내용

Versandbenachrichtigung라는 기묘한 단어는 독일어로 인식되어 '발송 알림'으로 번역됩니다. 메일함에서 스팸 메일로 표시하니 링크에 취소선이 그어져 있지만, iOS 기본 메일앱에선 정상적인 버튼으로 보였습니다. 제가 이 메일 주소는 스팸 메일 필터를 많이 꺼두었기 때문에, '스팸 메일함'이 아닌 '받은 편지함'으로 들어가 있었고 수동으로 스팸 표시를 했습니다.

이메일 내용을 번역해보니 아래와 같이 나왔습니다.

배송이 진행 중입니다.
고객님의 소포가 세관에 성공적으로 도착했으며 이제 통관할 준비가 되었음을 알려드립니다. 배송 절차가 원활하게 진행되도록 하려면 통관 수수료를 지불해야 합니다.
관세를 납부하고 소포의 배송 속도를 높이려면 세관 당국의 지침을 주의 깊게 따르시기 바랍니다. 결제가 완료되면 소포가 출고되어 지정된 주소로 배송이 시작됩니다.
지금 결제하기
이 첨부 파일을 열 수 없거나 궁금한 점이 있으면 언제든지 (삭제)@dhl.com 으로 문의하거나 (삭제) 으로 전화해 주세요.

첨부 파일은 없었지만, 해당 버튼을 누르니 한 쇼핑몰로 연결되어 제 카드 번호와 CVC 번호 등을 요구했었습니다. 현재는 해당 쇼핑몰이 폭파(?)되었네요. 이 쇼핑몰이 정상적인 쇼핑몰이었는데 도용당한 것인지, 아니면 원래 피싱 목적으로 만들어진 사이트인지는 미지수입니다.

Somthing went wrong. What happened? This store is unavailable

이메일을 받았을 당시에는 *e-marque 라는 사이트로 연결되었으며, 겉보기엔 정상적인 패션 쇼핑몰로 보였습니다. 연락처나 개인정보 처리방침도 (형식적으로나마) 잘 구비되어 있었고 팔로워가 많은 공식 인스타그램까지 있었으니 어쩌면 이 사이트도 해킹당한 사연이 있을지도 모르겠습니다. 아무튼 추정하건데 저와 같은 이메일을 받은 사람들의 신고로 해당 사이트가 내려갔네요.

보낸 사람이 no-reply@shopifyemail.com 으로, 놀랍게도 유명 해외 쇼핑몰인 shopify의 발신 전용 이메일입니다. 다만 shopify는 우리나라의 흔한 오픈마켓(11번가 등)처럼 여러 사람이 자신만의 온라인 상점을 열어서 등록할 수 있는 쇼핑몰이고, 각 판매자가 no-reply 이메일로 보낼 수 있다고 여겨집니다.^{(shopify.com)}

이메일 헤더를 볼 땐 Received 필드의 from이 제일 중요합니다. Received 필드는 가장 아래에 있는 주소가 '원 발신자'고, 위로 읽으면서 경유지를 파악하면 됩니다.

Received: from director-03.heinlein-hosting.de
Received: from mx2.mailbox.org
Received: from o21.mailer.shopify.com
Received: from (삭제) (unknown)

가장 위에 있는 heinlein-hosting.de는 제가 쓰는 이메일 서비스의 호스팅 서버고, 가장 아래는 임의의 토큰처럼 보여 삭제했습니다. 다만 shopify를 경유해서 온 것은 맞아 보입니다. 놀랍게도 DKIM도 shopify의 그것입니다.

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=shopifyemail.com;

Received 태그를 본 다음엔 no-reply 필드를 봅니다.

Reply-To: DHL <(삭제)*emarque@icloud.com>

피싱범은 icloud 이메일을 사용하여 이 이메일을 보냈습니다. 기억이 희미하지만 제 기억엔 상술했듯 *e-marque라는 사이트의 공식 이메일은 저게 아니었던 것 같습니다. 결국 누군가가 멀쩡한 쇼핑몰을 해킹한 후, 해당 쇼핑몰을 사칭하여 보낸 피싱 이메일이라는 결론을 나름대로 내렸습니다. 물론 해당 쇼핑몰이 공격자에 의해 세워진 가짜 쇼핑몰일 수도 있겠습니다. 사이트의 Footer에 DHL이라고 적혀있던 기억도 약하게나마 남아있습니다. (공격자가 사이트 내용을 바꾸었다면, Footer 또한 바꿨을 가능성이 있습니다.)

번외: 해당 송장 번호는 무엇일까?

그런데 이 이메일의 제목에 적힌 송장 번호는 무엇일까요? 통관을 위해 수수료를 지불해야 한다는 그 물건은 어디에서 와서 어디로 가는 물건일까요?

수취인에게 배달되었습니다., 위치 추적 코드: 5 4 3 5 0 0 1 4 9 3 10월, 13 2023 18:27 현지 시간, Service Area: GREENSBORO, NC - USA 원산지 Service Area : BELFAST - UK 도착지 Service Area : GREENSBORO, NC - USA

이 이메일이 도착하기 한달 전, 영국에서 미국으로 배송된 소포였습니다. 이메일을 받을 시점엔 이미 통관이고 뭐고 다 끝난 상태였다는 것이죠. 통관 완료는 10월 11일로 조회됩니다.

번외 2: 이메일 도용?

순간 누군가가 내 이메일 주소를 이용하여 범죄에 이용되는 물건(총기류나 마약류 등)을 '정말로' 주문하는 경우를 생각해 보았습니다. 보통 물건 주문 시 이메일 주소는 본인 인증을 하지 않기 때문입니다.

일단 제 이메일은 DMARC 등록을 해두었기 때문에 '발신' 이메일로 제 이메일을 사칭할 경우는 고려하지 않아도 됩니다. 문제는 수취인 이메일을 제 이메일로 하면 어떡하냐는 것이죠. 그래서 우선 제 도메인 메인 페이지에 영문 및 한글 안내를 적어두었습니다.

피싱 / 스캠 주의! 저는 돈을 요구하거나 개인정보를 요구하는 이메일을 보내지 않습니다. 또한 이 이메일은 프로그래밍 및 업무와 관련 없는 용도(온라인 쇼핑 등)로 사용하지 않습니다. 만약 누구든지 이 이메일 주소를 도용한 콘텐츠를 수신하셨다면, 그 이메일에 답장하지 마시고 새 글로 저에게(contact@pnal.dev)로 알려주세요. 적절한 기관(KISA 등)에 사건을 접수할 것입니다.

그리고 만약 수사기관에 이와 관련된 사건이 접수될 경우, 수사기관은 목적지의 주소와 수취인명, 전화번호 등을 종합 검토하여 수사할 것이기 때문에 곧 기우였다는 결론을 내렸습니다. 또 당연히 인증 없이 적은 정보로만 범인을 특정할 리가 없으니까요. 애초에 그런 범죄적 물건을 공개된 이메일을 이용해 거래하진 않을 것이고요(보통은 텔레그램과 같은 인스턴트 메신저를 이용할 것입니다.). 참고로 이 이메일 도메인은 한국 기업인 가비아에서 등록했기 때문에 범죄 목적으로 쓸래야 쓸 수가 없을 것입니다. 경찰과 협조가 얼마나 잘될텐데요!

메일 2. Confirm you want to receive email marketing

이메일 마케팅을 위해 동의해달라는 이메일입니다.

Confirm you want to receive email marketing You need to confirm that you want to receive marketing updates from us. If you didn’t subscribe, then you don’t need to do anything.

아까랑 동일한 출처의 이메일이고, 동일한 날짜 동일한 시각에 왔습니다. 자신을 DHL이라고 소개하는 이 이메일 역시 상기한 쇼핑몰로 이동됩니다. 쇼핑몰엔 Unsubscribe(구독 해제) 버튼만 있는 페이지로 이동되었고, 아마 수신 이메일이 유효한 주소인지 확인하기 위해 보내는 2차 스팸인 것 같습니다.

이 이메일엔 자신의 정체(?)인 icloud 이메일 주소를 대놓고 드러내고 있습니다. DHL에서 일개 쇼핑몰의 이메일 마케팅 수신 동의 이메일을 보낼리 없는데, 이쯤되면 자기들의 쇼핑몰 이름이 DHL이라고 착각하고 있는듯 합니다.

메일 3. Digitaler Einlieferungsbeleg für Ihr DHL Paket

메일 1과 메일 2를 받은지 일주일이 넘은 오늘(11월 12일), DHL을 사칭하는 또다른 이메일이 또 독일어로 왔습니다.

독일어 이메일 내용

제목과 내용을 번역하면 아래와 같습니다.

제목: DHL 소화물에 대한 디지털 발송 증명
좋은 하루 되세요,
우리는 가고 있습니다
고객님의 소포가 세관에 성공적으로 도착했으며 이제 통관할 준비가 되었음을 알려드립니다. 배송 절차가 원활하게 진행되도록 하려면 통관 수수료를 지불해야 합니다.
세관 납부 절차를 완료하려면 세관 당국의 지침을 따르시기 바랍니다. 결제가 완료되면 소포가 출고되어 주소지까지 배송이 계속됩니다.
[지금 결제하기]
--------------------------------------------------------------
배송이 추적 시스템에 표시되려면 몇 시간이 걸릴 수 있습니다. 조금만 기다려주세요.

취소선은 이메일이 스팸 메일함에 이동했기 때문에 링크 클릭이 금지되었음을 의미합니다. 결국 일주일 전 받은 이메일과 동일한 맥락으로, 통관을 위해 수수료를 지불해야 한다는 내용입니다. 링크 역시 카드 정보 등을 적는 사이트일 것입니다.

보낸 사람은 shipments@mydhl.de으로, mydhl.de는 무려 dhl의 소유 도메인 중 하나로 보입니다. DHL이 mydhl.com과 겪은 도메인 분쟁 신청에 대한 내용^(wipo.int)에서, DHL측의 근거로 "모회사인 도이치 포스트가 소유한 도메인"에 mydhl.com과 유사한 mydhl.biz, mydhl.info, mydhl.de등이 있다는 것이 거론되었습니다. 물론 이 문서는 2010년에 공개되었으므로, 그 사이에 mydhl.de의 주인이 바뀌었을 수 있습니다. 다만 리다이렉트는 dhl.com으로 되는군요. (최종 도착 페이지는 dhl 독일의 소포 조회 페이지입니다.)

이번에도 헤더의 Received 필드를 보겠습니다.

Received: from director-06.heinlein-hosting.de
Received: from mx1.mailbox.org
Received: from (삭제)e.de (vm474*****.25ss*.*ad.wf )
Received: by (삭제)e.de

원래 각 Received 필드의 from 주소 옆에는 괄호로 서버의 메인 주소나 아이피 주소가 적혀있습니다. 첫번째와 두번째는 제가 사용하고 있는 이메일 서비스의 서버니 넘어가고, 문제는 처음 발송한 주소와 그 다음 경유지입니다.

(삭제)e.de로 표시한 부분은 실제 독일에서 운영 중인 영세한 회사의 홈페이지 주소입니다. 들어가보니 에너지 관련 무언가를 하고 있는 것 같습니다. 그런데 경유지를 보세요. 해당 회사의 도메인 옆, 실제 서버의 도메인은 .wf를 최상위 도메인으로 하는 이상한 도메인이 적혀있습니다.

.wf는 왈리스 푸투나의 최상위 도메인으로, 여기서 DHL 통관 관련된 이메일을 보낼리가 없습니다. 게다가 아무리 그래도 서버 도메인이 vm474*****.25ss*.*ad.wf 라니, 별표(*)는 제가 임의로 마스킹한 부분이지만 참 이상하지 않습니까?

결과적으로 이 또한 DHL은 커녕 멀쩡한 사이트에서 보낸 이메일이 아닙니다. 그러나 헤더를 유심히 보지 않으면 DHL에서 보낸 이메일처럼 발송 주소가 mydhl.de로 되어있기 때문에 속기 쉽습니다. 이메일에 있는 사진도 DHL의 이미지 서버를 이용하고 있고요.

번외: SPF, DKIM

헤더를 보았을 때 이 이메일은 SPF와 DKIM Test가 모두 실패한 이메일입니다. 공격자가 멀쩡한 이메일로 위장한 '가짜 메일'일 가능성이 높은 것이죠. DHL 정도 규모의 회사가 DKIM 등록을 안 할 리가 없습니다.

SPF는 발신자의 IP 주소와 도메인 주소가 일치하는지 검증할 수 있는 발신자 정책의 일종이고, DKIM은 이메일이 중간에 변조되지 않도록 키를 이용하여 암호화를 한 뒤에, 수신 서버에서 복호화 할 수 있도록 하는 일종의 보안 절차입니다. 또한 헤더에 서명이 추가되기 때문에, 이를 수신 서버에서 도메인의 DNS를 확인하여 발신자의 진위 또한 파악할 수 있습니다.

이것이 모두 되지 않은 이메일은 사칭 이메일일 가능성이 높습니다.

이메일 스푸핑

이렇게 보낸 사람의 이메일 주소를 실제 존재하는 제3자처럼 보이게 하는 공격 수법을 '이메일 스푸핑'이라고 합니다. 어떻게 보면 도메인을 위장하는 도메인 스푸핑의 하위 기법인데요, 실제로 당해보니 이거 꽤 무섭고 치밀합니다. 예전처럼 되도않는 한국어에 이상한 첨부파일 넣고 열어보라는 시대가 아니에요(그런 방식도 여전히 있겠지만요).

만약 자신이 사용하고 있는 카드사에서 해외 결제 200달러가 되었다며 영수증 및 조회 링크(사기 링크)가 있는 이메일이 왔다고 생각해보세요. 그럴듯하게 꾸민 이메일에 주소 또한 인터넷에 찾아보니 공식 카드사 이메일 주소라고 합니다. 무차별적으로 뿌리는 이런 DHL 메일도 많이 속지만, 그 사람의 개인 정보를 알아내어 보내는 표적 공격과 결합하면 더욱 위험해 보입니다. 안넘어가는 사람이 더 적을 것 같아요.

DHL 사칭 이메일 신고

DHL 홈페이지의 사기 인식 페이지^(dhl.com)에서 사칭 이메일을 신고하는 방법을 자세히 안내하고 있으니, 이러한 이메일을 받았다면 적극적으로 신고 바랍니다. (저는 경찰청 및 인터넷진흥원 신고까진 하지 않았는데, 어차피 해외 이메일이기도 하고 너무 귀찮기도 해서요.)