The Big Whale Leak: Sophisticated Phishing Campaign Targets Crypto Community with Spoofed Email Headers

Anthony GOUJON
Cybersecurity Expert & Senior Crypto Analyst • Ex-École Polytechnique
8 min read

요약: "빅 웨일 유출"이라고 불리는 정교한 피싱 캠페인이 발견되었으며, 이는 인기 있는 프랑스 암호화폐 뉴스레터 The Big Whale을 사칭하여 고액 암호화폐 투자자들을 표적으로 삼고 있습니다. 공격자들은 이메일 인증 프로토콜의 취약점을 악용하여 DKIM, SPF, DMARC 헤더를 조작해 보안 필터를 우회하고 자격 증명을 탈취합니다.

빅 웨일 피싱 캠페인 이메일 헤더 분석
기술적 분석을 통해 빅 웨일 피싱 캠페인의 정교한 이메일 헤더 조작이 드러났습니다. 출처: CryptoVest 보안 연구소

대규모 웨일링 작전의 발견

사이버보안 전문가들이 2025년 가장 정교한 암호화폐 표적 피싱 캠페인 중 하나라고 부르는 사건에서, 위협 행위자들이 프랑스의 저명한 암호화폐 뉴스레터인 The Big Whale을 체계적으로 사칭하여 유럽과 북미 전역의 고액 순자산 암호화폐 투자자들로부터 자격 증명과 민감한 정보를 수집해왔습니다.

6월 초에 처음 발견된 이 캠페인은 이미 3,000개 이상의 이메일 계정을 침해했으며 잠재적으로 수백만 달러 상당의 암호화폐 자산을 노출시켰습니다. 이 공격을 특히 위험하게 만드는 것은 기존 보안 조치를 성공적으로 우회하는 고급 이메일 헤더 조작 기술의 사용입니다.

"이것은 일반적인 피싱 시도가 아닙니다. 공격자들은 이메일 인증 프로토콜에 대한 깊은 지식을 보여주며 SPF 검사를 통과하면서 DKIM 취약점을 악용하도록 메시지를 제작했습니다. 이는 기술적 정교함과 결합된 사회공학의 마스터클래스입니다."

— Marcus Chen, CryptoDefense Labs 최고보안책임자

공격의 기술적 해부

우리의 조사는 성공률을 극대화하기 위해 여러 공격 벡터를 결합한 다층적 접근법을 밝혀냈습니다. 피싱 이메일은 경험 많은 사용자도 속일 수 있는 겉보기에 합법적인 헤더와 함께 도착합니다.

관찰된 이메일 헤더 조작 기술:

  • 서브도메인 스푸핑을 이용한 SPF 우회: 공격자들이 유효한 SPF 레코드를 가진 "thebig-whale.io"와 "the-bigwhale.com" 같은 도메인을 등록
  • DKIM 서명 주입: 인증을 통과하기 위해 침해된 메일 서버의 유효한 DKIM 서명 사용
  • DMARC 정책 악용: "p=none" DMARC 정책을 가진 조직들을 표적으로 함
  • 반송 경로 조작: 의심을 피하기 위해 합법적으로 보이는 반송 주소 사용

공격 인프라:

  • 명령 및 제어 서버: 7개 다른 국가에 위치
  • 등록된 피싱 도메인: 45개 이상의 오타 스쿼팅 변형
  • 식별된 이메일 템플릿: 4개 언어로 된 12개의 고유 변형
  • 추정 피해자: 3,000명 이상 확인, 잠재적으로 10,000명 이상 표적

심층 분석: 이메일 헤더 포렌식

캡처된 피싱 이메일 분석 결과, 일반적인 검사를 통과할 수 있는 정교한 헤더 조작 기법이 발견되었습니다. 사용된 기법들의 분석 내용은 다음과 같습니다:

1. SPF 레코드 조작

공격자들은 기술적으로는 검증을 통과하지만 악성 인프라에서 발생하는 SPF 레코드를 생성했습니다:

Received-SPF: pass (google.com: domain of noreply@thebig-whale.io designates 185.156.177.234 as permitted sender)
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of noreply@thebig-whale.io designates 185.156.177.234 as permitted sender)

2. DKIM 서명 분석

정당한 Big Whale은 특정 DKIM 선택자를 사용하는 반면, 피싱 이메일은 손상되거나 위조된 서명을 보여줍니다:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=mailservice-provider.com; s=selector2048;
        h=from:to:subject:date:message-id;
        bh=xjN4Kf9rPt8kJYJXKLDkDkK6Uk=;
        b=dGhpcyBpcyBhIGZha2Ugc2lnbmF0dXJl...

3. X-Originating-IP 노출

여러 피싱 이메일이 X-Originating-IP 헤더를 통해 실제 출처를 실수로 노출했으며, 동유럽과 동남아시아의 알려진 사이버 범죄 인프라와의 연결을 드러냈습니다.

암호화폐 커뮤니티에 미치는 영향

심층적인 암호화폐 시장 분석으로 유명하고 10만 명 이상의 구독자를 보유한 Big Whale 뉴스레터는 사이버 범죄자들에게 매력적인 사칭 대상이 되었습니다. 이 피싱 캠페인은 특히 다음을 표적으로 합니다:

  • 고액 자산가: 상당한 비트코인과 이더리움 포지션을 보유한 암호화폐 고래
  • DeFi 프로토콜 사용자: 지갑 연결 및 시드 문구 수집을 표적으로 함
  • 기관 투자자: 거래소 API에 접근할 수 있는 기업 이메일 계정
  • 뉴스레터 구독자: Big Whale 브랜드에 대한 신뢰를 악용

피해자들은 Big Whale의 디자인 미학을 완벽하게 모방한 이메일을 받았다고 보고했으며, 여기에는 그들의 시그니처인 네이비 블루 색상 체계와 미니멀한 프랑스 타이포그래피가 포함되어 있습니다. 이메일은 일반적으로 "독점 투자 기회" 또는 암호화폐 포트폴리오의 "보안 업데이트"와 관련된 긴급한 행동 요구를 포함합니다.

고급 이메일 스푸핑 방어

이 캠페인의 정교함은 조직이 이메일 보안 프로토콜을 구현하는 방식의 중요한 취약점을 부각시킵니다. 필수적인 방어 메커니즘은 다음과 같습니다:

조직을 위한 방법:

  • 엄격한 DMARC 정책 구현: "p=none"에서 "p=quarantine" 또는 "p=reject"로 이동
  • 정기적인 SPF 레코드 감사: 모든 정당한 발송 소스가 적절히 구성되었는지 확인
  • DKIM 키 순환: 손상 영향을 최소화하기 위해 분기별 키 순환 구현
  • 헤더 분석 도구: 이메일 헤더의 이상 징후를 검사하는 자동화 도구 배포
  • 사용자 인식 교육: 정교한 피싱 시도를 식별하는 방법에 대해 사용자 교육

개별 사용자를 위한 방법:

  • 발신자 주소 신중히 확인: 미묘한 타이포스쿼팅 변형을 찾아보기
  • 이메일 헤더 확인: "원본 보기" 기능을 사용하여 인증 결과 검사
  • 긴급 링크 클릭 금지: 정당한 서비스는 즉각적인 조치를 거의 요구하지 않음
  • 하드웨어 지갑 사용: 온라인에서 시드 문구를 절대 입력하지 않기
  • 모든 곳에서 2FA 활성화: 자격 증명이 손상되어도 추가 보호

침해 지표 (IoCs)

보안 팀은 이 캠페인과 관련된 다음 지표들을 모니터링해야 합니다:

악성 도메인 (부분 목록):

  • thebig-whale[.]io
  • the-bigwhale[.]com
  • bigwhale-newsletter[.]eu
  • thebigwhale-crypto[.]com
  • newsletter-bigwhale[.]org

C2 인프라와 연관된 IP 주소:

  • 185.156.177[.]234 (몰도바)
  • 45.142.212[.]100 (네덜란드)
  • 193.42.33[.]210 (러시아)
  • 103.75.119[.]157 (싱가포르)

이메일 제목 패턴:

  • "🐋 독점 알림: 제한된 비트코인 기회"
  • "긴급: 암호화폐 포트폴리오 보안 업데이트 필요"
  • "Big Whale 특별 보고서: 지금 행동하세요"
  • "Big Whale 구독자 독점 에어드롭"

진행 중인 수사와 대응

여러 관할권의 법 집행 기관들이 가해자들을 추적하기 위해 노력을 조율하고 있습니다. 정당한 Big Whale 뉴스레터는 구독자들에게 경고를 발행했으며, 추가적인 인증 조치를 구현하기 위해 이메일 보안 제공업체와 협력하고 있습니다.

"범죄자들이 우리 브랜드를 악용하여 암호화폐 커뮤니티를 표적으로 삼는 것에 분노합니다. 우리는 BIMI(메시지 식별을 위한 브랜드 지표)를 구현하고 주요 이메일 제공업체와 협력하여 우리의 정당한 이메일이 명확하게 표시되도록 하고 있습니다."

— Big Whale 편집팀 성명

수사 결과 암호화폐 절도를 전문으로 하는 이전에 확인된 사이버 범죄 그룹과의 연결이 밝혀졌으며, 암호화폐 분야에서 라자루스 그룹의 최근 활동과 잠재적 연관성이 있습니다. 그러나 손상된 인프라의 사용과 위장 작전으로 인해 귀속 확인은 여전히 어려운 상황입니다.

암호화폐 이메일 보안에 대한 시사점

이 캠페인은 암호화폐를 표적으로 한 피싱의 진화를 보여주며, 공격자들이 현대 이메일 보안 조치를 우회하기 위해 상당한 자원을 투자하고 있음을 보여줍니다. 암호화폐 업계는 독특한 도전에 직면하고 있습니다:

  • 고가치 표적: 암호화폐 보유자들은 사이버 범죄자들에게 수익성 높은 표적입니다
  • 되돌릴 수 없는 거래: 전통적인 은행업과 달리 암호화폐 거래는 되돌릴 수 없습니다
  • 익명성: 합법적인 통신을 검증하기 어렵습니다
  • 빠른 생태계 변화: 새로운 프로토콜과 플랫폼이 새로운 공격 표면을 만듭니다

업계는 특히 고가치 거래나 민감한 운영에 대해 이메일 통신에 대한 제로 트러스트 접근 방식을 채택해야 합니다. 여기에는 중요한 요청에 대한 대역 외 검증 구현과 진화하는 위협 환경에 대한 사용자 교육이 포함됩니다.