링크복사
공유
댓글
추천
스크랩
인쇄
글자크기

링크가 복사되었습니다.

글자크기

가

작게

가

보통

가

크게

가

매우크게

사회 테크

로빈후드 노린 정교한 피싱…도메인·인증 다 통과했다

이준한 기자

2026.04.28 (화) 03:03

로빈후드 이메일 시스템을 악용한 피싱 공격이 발생해 정상 도메인과 인증을 모두 통과한 메일이 대량 유포됐다.

점 트릭과 HTML 주입을 이용해 사용자 로그인 정보와 2FA 코드 탈취를 노린 정교한 수법이 확인됐다.

로빈후드 노린 정교한 피싱…도메인·인증 다 통과했다 / TokenPost.ai

로빈후드(Robinhood) 고객들이 주말 사이 회사에서 직접 보낸 것처럼 보이는 ‘피싱 이메일’을 대거 받은 것으로 전해졌다. 이메일은 발신자 주소가 실제 @robinhood.com 도메인이었고, 인증 헤더와 전자서명(DKIM) 등이 정상으로 처리돼 스팸 필터도 피해갔다.

특히 [email protected]에서 발송된 일부 메일은 지메일(Gmail)에서 과거 로빈후드의 정상 보안 경고와 동일한 ‘대화 스레드’로 자동 합쳐지기까지 했다. 겉으로 드러난 이상 징후는 거의 없었고, 핵심은 로그인 정보 입력을 유도하는 링크 등 ‘내용’ 자체가 사기였다는 점이다.

‘점(dot) 트릭’과 HTML 주입…로빈후드 알림 파이프라인 악용

보안 연구원 압델 사바(Abdel Sabbah)는 이번 공격을 분석하며 음산한 의미로 “꽤 아름답다(kinda beautiful)”고 표현했다. 공격자는 먼저 지메일이 주소의 @ 앞 부분에서 점(.)을 무시하는 특성(일명 ‘dot trick’)을 이용해, [email protected]과 [email protected] 같은 변형 주소가 같은 받은편지함으로 들어가도록 만들었다.

문제는 로빈후드가 지메일처럼 점 변형을 정규화하지 않는다는 데서 생겼다. 공격자는 점이 섞인 형태로 계정을 만들고, 기기 이름(device name) 입력란에 원시 HTML을 심은 뒤 로빈후드의 ‘인식되지 않은 활동’ 알림 이메일 템플릿이 이를 별도 정화(sanitize) 없이 그대로 삽입하도록 유도했다. 그 결과 “DKIM 통과, SPF 통과, DMARC 통과”를 모두 만족하는 ‘정상 발송’처럼 보이는 피싱 이메일이 완성됐다는 설명이다.

목표는 계정 탈취…2FA 코드까지 노리는 링크

이메일에 포함된 CTA(call to action)는 가짜 보안 경고 형태로, 공격자가 통제하는 웹페이지로 연결되는 하이퍼링크를 담았다. 사용자가 링크를 눌러 로그인 정보를 입력하면 계정 비밀번호뿐 아니라 2단계 인증(2FA) 코드까지 회수해 계정 접근 권한을 빼앗는 전형적인 수법이다.

공격의 최종 목적은 다른 피싱 캠페인과 마찬가지로 ‘사용자 자금’에 접근하는 것이다. 로빈후드 계정이 주 타깃으로 거론됐으며, 이번 사례는 겉보기 신뢰 지표(도메인, 인증 서명, 발송 서버)가 모두 정상처럼 보일 수 있다는 점에서 암호화폐 투자자와 일반 투자자 모두에게 경각심을 키우고 있다.

“메일의 링크는 일단 멈춰라”…검증 습관이 핵심

사건 분석은 소셜미디어를 통해 빠르게 확산됐고, 여러 크립토 인플루언서들도 ‘클릭 주의’를 당부했다. 리플(Ripple) 최고기술책임자 데이비드 슈워츠(David Schwartz)는 “로빈후드에서 온 것처럼 보이는 이메일(심지어 실제 이메일 시스템에서 발송됐을 수도 있는 것)도 피싱일 수 있다”며 “상당히 교묘하다”고 경고했다.

유사 사례는 과거에도 있었다. 2025년 4월 이더리움네임서비스(ENS) 리드 개발자 닉 존슨(Nick Johnson)은 구글(Google) 인프라를 악용해 [email protected]에서 온 것처럼 보이는 DKIM 서명 피싱 이메일이 전달된 정황을 공개한 바 있다. 이번 로빈후드 사례가 던지는 메시지도 같다. 발신자 도메인과 인증 실패 여부만으로는 충분치 않으며, 이메일 속 링크는 즉시 누르기보다 앱·공식 사이트를 직접 접속해 알림을 재확인하는 습관이 필요하다.

[마켓분석] '잊혀진 시장' 중국, 패스트머니 귀환…차이넥스트 2021년 고점 돌파

알파리포트 전문 보기 →

기사요약 by TokenPost.ai

🔎 시장 해석 - 로빈후드 ‘정상 도메인(@robinhood.com)·정상 인증(DKIM/SPF/DMARC)’을 통과한 피싱 사례로, 이메일 기술적 신뢰지표만으로는 안전을 보장하기 어렵다는 점이 재확인됨 - 거래/지갑/브로커 계정은 자금 인출로 직결돼 피싱의 1순위 타깃이며, 주식·암호화폐 투자자 모두 동일한 리스크에 노출 - ‘메일 스레드(대화) 합쳐짐’ 같은 UI 요소가 신뢰를 증폭시켜 클릭률을 높이는 방향으로 악용될 수 있어, 플랫폼/메일 서비스의 템플릿·입력값 검증(Sanitize) 중요성이 부각 💡 전략 포인트 - 이메일 링크는 클릭하지 말고, 앱/공식 사이트를 직접 열어 알림·보안 이벤트를 재확인(북마크/직접 입력 습관화) - “인식되지 않은 로그인/활동” 경고가 오면: 비밀번호 즉시 변경 → 모든 세션 로그아웃 → 2FA 재설정(가능 시 인증앱/패스키 우선) → 출금 주소/연결된 기기 점검 - 메일이 ‘정상 발신’처럼 보여도 내용(요청 행위)이 비정상인지 판단: 로그인/2FA 코드를 요구, 긴급성 강조, 외부 도메인 이동 유도는 고위험 신호 - 서비스 운영 측면 인사이트: 사용자 입력값(기기명 등) HTML 주입 방지(escape/sanitize), 이메일 템플릿 내 사용자 데이터 삽입 정책 점검, Gmail dot-variant 정규화 또는 중복 등록 방지 📘 용어정리 - 피싱(Phishing): 신뢰할 만한 기관/서비스를 사칭해 계정정보·인증코드 등을 탈취하는 사기 기법 - DKIM/SPF/DMARC: 이메일이 ‘해당 도메인이 허용한 서버/서명’에서 왔는지 검증하는 인증 체계(통과해도 ‘내용’이 안전하다는 뜻은 아님) - Dot trick(점 트릭): Gmail은 아이디의 점(.)을 무시해 같은 계정으로 취급하는 특성을 악용하는 방식 - HTML 주입(Injection): 입력란에 HTML/스크립트 등을 심어 화면·메일 내용이 공격자 의도대로 렌더링되게 만드는 취약점 - 2FA(2단계 인증): 비밀번호 외에 추가 인증(코드/앱/키)을 요구하는 보안 수단(피싱으로 코드까지 탈취될 수 있음)

💡 자주 묻는 질문 (FAQ)

Q. DKIM/SPF/DMARC가 통과한 메일이면 진짜 아닌가요?

아닙니다. DKIM/SPF/DMARC는 ‘메일이 특정 도메인의 발송 시스템을 거쳤는지’를 확인하는 장치일 뿐, 메일 내용(링크/안내문)이 안전하다는 보장은 아닙니다. 이번 사례처럼 서비스의 알림 파이프라인(템플릿)에 악성 내용이 섞이면 인증을 통과한 채 피싱이 될 수 있습니다.

Q. 이런 피싱 메일을 받았을 때 가장 안전한 확인 방법은 무엇인가요?

메일 속 링크는 누르지 말고, 로빈후드 앱(또는 즐겨찾기해 둔 공식 웹사이트)에 직접 접속해 알림/보안 이벤트를 확인하세요. 필요하면 고객센터를 공식 채널로 검색해 문의하고, 의심 메일은 스팸/피싱으로 신고하는 것이 좋습니다.

Q. 이미 링크를 눌러 로그인/2FA 코드를 입력했다면 어떻게 해야 하나요?

즉시 (1) 비밀번호 변경, (2) 모든 기기/세션 로그아웃, (3) 2FA 재설정(가능하면 인증앱/패스키 등 피싱 저항 수단 우선), (4) 출금/연결 계좌·기기·API 접근 권한 점검, (5) 의심 거래/출금 시도 여부 확인 및 고객지원에 사고 접수 순으로 조치하세요.

TP AI 유의사항 TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.

본 기사는 시장 데이터 및 차트 분석을 바탕으로 작성되었으며, 특정 종목에 대한 투자 권유가 아닙니다.

광고문의 기사제보 보도자료

#로빈후드 #피싱 #이메일보안 #DKIM #지메일 #사이버공격

텔레그램에서 토큰포스트 속보 보기