n8n 웹훅 악용한 피싱 캠페인 급증…686% 증가, 도메인 신뢰 기반 보안의 맹점

• 시스코 탈로스가 포착한 공격 시나리오
  • 공격자들이 account-name.app.n8n.cloud 같은 n8n의 신뢰받는 클라우드 도메인을 활용
  • 기존 보안 필터들이 n8n 도메인을 "정상 SaaS"로 화이트리스트 취급하는 허점을 정확히 찌름
  • 도메인 신뢰 기반 보안 체계의 근본적 맹점을 파고든 사례

공격 체인

• n8n 웹훅은 원래 외부 앱에서 데이터를 받는 '리스너(Listener)' 역할
  • 이걸 악용해 이메일 수신자 브라우저에 악성 웹페이지나 HTML 콘텐츠를 심음
• 구체 절차
  • 공유 문서로 위장한 링크 제공 → 클릭 유도
  • CAPTCHA 인증 페이지를 거치게 만들어 정상 서비스처럼 보이게 함
  • 외부 호스트에서 악성 페이로드 다운로드
  • 이 다운로드 과정이 n8n 도메인 내부의 자바스크립트로 캡슐화돼 있어서, 브라우저는 "n8n이라는 신뢰받는 출처"에서 왔다고 오인
• 최종 목적 — 정상 원격관리도구(RMM)의 수정 버전 설치
  • 대표적으로 Datto, ITarian 같은 RMM 툴의 변조 버전
  • 이걸 심으면 시스템 원격 제어권 탈취 가능
• 부가 수법 — 트래킹 픽셀
  • 이메일에 보이지 않는 1x1 픽셀을 n8n 웹훅 URL로 삽입
  • 수신자가 이메일을 열기만 해도 기기 정보·이메일 주소가 공격자에게 유출되는 핑거프린팅 병행

이 사건이 말해주는 것

• 개발자 시간 아끼자고 만든 워크플로우 자동화 도구가 공격자의 악성코드 배포·기기 식별 자동화 도구로 전락
• "도메인 신뢰" 기반의 현대 사이버 보안 체계가 SaaS 시대에 얼마나 취약한지 드러낸 사례
• 로우코드(Low-code) 자동화 플랫폼이 새로운 공격 벡터로 부상 중이라는 경고
  • 사내 보안팀이 n8n, Zapier, Make 같은 플랫폼 트래픽도 모니터링 범주에 넣어야 한다는 지적
  • 특히 RMM 도구 설치 시도는 EDR에서 잡아야 할 핵심 지표

---

기술 맥락

n8n 웹훅이 악용된 이유는 구조적이에요. 웹훅 URL은 보통 https://사용자이름.app.n8n.cloud/webhook/... 같은 형식으로 발급되는데, 도메인 자체가 n8n의 정상 SaaS 호스팅이거든요. 기업 보안 필터 입장에선 "이건 n8n이라는 검증된 플랫폼"으로 판단해서 통과시키는 게 기본값이에요. 공격자는 이 '도메인 평판'을 훔쳐서 피싱의 랜딩페이지로 쓰는 거죠.

더 까다로운 건 악성 페이로드 다운로드 로직이 n8n 도메인 안에서 실행되는 자바스크립트로 캡슐화돼 있다는 점이에요. 브라우저의 동일 출처 정책이나 CSP 검사 관점에서 n8n 도메인이 정상이니까 의심할 이유가 없고, 실제 페이로드를 가져오는 외부 호출만 따로 차단하기도 애매해요. 전통적인 URL 블랙리스트 방식이 통하지 않는 이유가 여기 있어요.

방어 쪽에서 봐야 할 핵심은 두 가지예요. 첫째, 외부 SaaS 자동화 도메인(n8n, Zapier, Make 등)의 트래픽을 '신뢰 도메인'으로만 취급하지 말고 행위 기반 모니터링 대상에 포함하는 거예요. 둘째, Datto·ITarian 같은 RMM 도구의 비인가 설치를 EDR로 탐지하는 정책이 꼭 있어야 해요. 원격관리도구 설치는 최종 단계라서 여기서라도 잡아야 피해가 커지지 않거든요. 한국 중소기업에서 최근 자동화 플랫폼 도입이 빠르게 늘고 있는 만큼 남의 얘기가 아니에요.