로빈후드, 지메일 '도트 에일리어스' 취약점 악용한 정교한 피싱 공격에 노출: 공식 시스템 역이용한 사기 주의보

2026년 4월 28일 실적 발표를 앞둔 로빈후드 마켓(Robinhood Markets)이 자사의 자동화 시스템을 역이용한 정교한 피싱 캠페인으로 몸살을 앓고 있다. 지메일(Gmail)의 주소 처리 방식에 존재하는 특이점을 악용한 이번 공격은 로빈후드 공식 도메인에서 발송된 것처럼 보이는 보안 경고를 생성하여 숙련된 보안 전문가들조차 혼란에 빠뜨리고 있다.

2026년 4월 26일부터 본격적으로 관찰된 이번 피싱 이메일은 공식 로그인 경고와 거의 흡사한 형태를 띠고 있다. 이메일에는 실제 서비스와 유사한 케이스 ID와 타임스탬프가 포함되어 있어 사용자가 이를 가짜로 식별하기 매우 어렵게 설계되었다. 특히 발신자 주소가 로빈후드의 공식 주소인 'noreply@robinhood.com'으로 표시된다는 점이 사용자들의 신뢰를 기만하는 핵심 요소로 작용하고 있다.

보안 연구원 압델 사바(Abdel Sabbah)는 이번 공격의 기술적 정교함을 두고 '어떤 면에서는 아름답기까지 하다'며 사악한 의도가 담긴 찬사를 보냈다.

이번 공격의 핵심은 지메일이 이메일 주소 내의 마침표(.)를 무시한다는 점을 악용한 '도트 에일리어스(dot alias)' 기법이다. 예를 들어 'u.s.e.r@gmail.com'과 'user@gmail.com'을 동일한 수신함으로 처리하는 지메일의 특성을 이용해, 공격자들은 로빈후드 시스템에서 수많은 신규 계정을 생성하며 공식 보안 알림 메일을 강제로 발송시켰다. 로빈후드의 계정 생성 필터가 이러한 마침표 변형을 서로 다른 계정으로 인식하면서 발생한 취약점이다.

피싱 메시지의 주요 식별 요소

비록 발신 주소가 공식 계정으로 표시되더라도, 이메일 내부의 링크는 치명적인 위험을 내포하고 있다. 공격자들은 사용자가 가짜 로그인 웹사이트에 접속하도록 유도하여 비밀번호와 같은 민감한 정보를 탈취하려 시도한다. 단순히 웹사이트를 방문하는 것만으로는 계정이 탈취되지 않으나, 해당 페이지에서 정보를 입력하는 순간 공격자에게 제어권이 넘어갈 수 있다.

• 'Review Activity Now'라는 문구의 외부 링크 포함
• 'cweegp'와 같이 로빈후드와 무관한 확장자를 가진 악성 도메인 연결
• 공식 앱이 아닌 외부 웹사이트를 통한 민감 정보 입력 요구
• 비정상적인 기기 또는 위치에서의 로그인 시도 알림

리플(Ripple)의 CTO 데이비드 슈워츠(David Schwartz)는 자신의 X(구 트위터) 계정을 통해 '로빈후드에서 온 것처럼 보이는 모든 이메일은 피싱 시도일 수 있다'며 긴급 주의보를 발령했다. 그는 이메일이 실제 로빈후드의 시스템에서 발송되었을 가능성이 높다는 점을 강조하며, 사용자들에게 이메일 내의 링크를 클릭하는 대신 공식 앱을 통해 계정 상태를 확인할 것을 강력히 권고했다.

로빈후드 측은 2026년 4월 27일 공식 성명을 통해 계정 생성 프로세스의 남용으로 인한 가짜 이메일 발송 사실을 인정하고 사용자 경고를 게시했다. 이번 보안 사고는 HOOD 주가에 중요한 분기점이 될 4월 28일 실적 발표와 맞물려 시장의 우려를 낳고 있으며, 핀테크 기업의 보안 신뢰도에 대한 논의를 재점화하고 있다.

사용자 보호 및 대응 조치

만약 피싱 링크를 클릭했거나 정보를 입력했다면 즉시 로빈후드 비밀번호를 변경하고 2단계 인증(2FA)을 활성화해야 한다. 또한 공식 고객 지원 채널을 통해 해당 사건을 보고하고 계정의 비정상적인 활동 여부를 면밀히 확인하는 것이 필수적이다. 보안 전문가들은 이메일의 발신자 주소만 믿기보다는 연결된 URL의 도메인을 반드시 확인해야 한다고 조언한다.

1. 로빈후드 계정 비밀번호 즉시 변경
2. 2단계 인증(2FA) 설정 및 강화
3. 공식 지원 채널을 통한 사고 접수 및 리포트
4. 이메일 내 링크 대신 공식 앱이나 웹사이트 직접 접속 생활화

이번 사건은 핀테크 플랫폼의 자동화된 계정 생성 및 이메일 검증 시스템에 내재된 구조적 취약성을 여실히 드러냈다. 향후 금융 서비스들은 지메일과 같은 외부 메일 서비스의 특이점까지 고려한 더욱 정교한 보안 필터링 시스템을 구축해야 할 과제를 안게 되었다. 사용자들 역시 갈수록 교묘해지는 사회 공학적 공격에 대비해 보안 수칙을 철저히 준수해야 한다.