보안정보

MalwarePhishingWebhookn8n

n8n 웹훅 악용, 피싱 이메일 통해 악성코드 유포

분석팀 2026.04.16



공격자들이 인기 있는 인공지능(AI) 기반 워크플로 자동화 플랫폼인 n8n을 악용하는 사례가 관찰되었다.


공격자는 이 플랫폼을 활용해 정교한 피싱 공격을 수행하고, 자동화된 이메일을 전송하여 악성 페이로드를 전달하거나 기기 정보를 수집한다.


한 보안 연구진은 "공격자는 신뢰할 수 있는 인프라를 활용해 기존 보안 필터를 우회한다"고 밝혔다.


이어 "생산성 도구를 지속적인 원격 접근을 위한 전달 수단으로 사용한다"고 덧붙였다.


n8n은 사용자가 다양한 웹 애플리케이션과 API, AI 모델 서비스를 연결하여 데이터를 동기화할 수 있도록 하는 워크플로 자동화 플랫폼이다.


뿐만 아니라 에이전트 시스템을 구축하고, 반복적인 규칙 기반 작업을 실행할 수 있도록 한다.


사용자는 추가 비용 없이 개발자 계정을 등록하여, 관리형 클라우드 호스팅 서비스를 이용할 수 있다.


이를 통해 자체 인프라를 구축하지 않고도 자동화 워크플로를 실행할 수 있다. 


이 과정에서 <계정명>.app.n8n.cloud 형식의 고유한 사용자 지정 도메인이 생성된다.


사용자는 이 도메인을 통해 애플리케이션에 액세스할 수 있다. 


n8n은 특정 이벤트가 발생했을 때, 앱과 서비스로부터 데이터를 수신하는 웹훅(Webhook) 생성 기능도 지원한다. 


이를 통해 특정 데이터를 수신한 후, 워크플로우를 시작할 수 있다. 


이 경우, 데이터는 웹훅 URL을 통해 전송된다. 


한 보안 연구진에 따르면, 이러한 URL로 노출된 웹훅이 2025년 10월부터 피싱 공격에 악용되어 왔다.


이 웹훅은 동일한 *.app.n8n[.]cloud 서브도메인을 사용한다.


웹훅은 흔히 "리버스 API"라고도 불리며, 한 애플리케이션이 다른 애플리케이션에 실시간 정보를 제공할 수 있도록 한다.


이러한 URL은 애플리케이션을 "리스너"로 등록하여 데이터를 수신하게 한다.


여기에는 프로그램적으로 가져온 HTML 콘텐츠도 포함될 수 있다. 




[그림 1. 웹훅 기반 악성코드 유포 공격 체인]



해당 URL이 요청을 받으면 후속 워크플로 단계가 실행왼다.


그 결과는 HTTP 데이터 스트림 형태로 반환된다.


해당 URL이 이메일을 통해 열릴 경우, 수신자의 브라우저가 요청을 처리하는 애플리케이션 역할을 하게 된다.


이 과정에서 반환된 데이터는 웹페이지 형태로 처리된다. 


이러한 구조는 공격자가 신뢰할 수 있는 도메인에서 온 것처럼 위장하여, 악성 소프트웨어를 유포할 수 있는 새로운 기회를 제공한다.


실제로 공격자들은 이러한 동작을 악용하여, 악성코드 유포 및 기기 식별을 위해 n8n 웹훅 URL을 신속하게 설정했다.


2026년 3월 기준, 해당 URL이 포함된 이메일의 양은 2025년 1월 대비 약 686% 증가했다.


한 공격 사례에서는 공격자들이 공유 문서로 위장한 이메일에 n8n에서 호스팅하는 웹훅 링크를 삽입하는 수법을 사용했다. 


사용자가 이 링크를 클릭하면 CAPTCHA가 표시되는 웹 페이지로 이동한다.


CAPTCHA 인증을 완료하면, 외부 서버에서 악성 페이로드가 다운로드된다.


한 연구진은 "전체 과정이 HTML 문서의 JavaScript 내에 포함되어 있기 때문에, 브라우저는 다운로드가 n8n 도메인에서 온 것처럼 인식한다"고 지적했다. 


해당 공격의 최종 목적은 실행 파일 또는 MSI 설치 프로그램을 배포하는 것이다.


이 파일은 정상 원격 모니터링 및 관리(RMM) 도구의 변조된 버전을 전달하는 통로 역할을 한다.


이를 사용하여 명령 및 제어(C2) 서버에 연결함으로써, 지속적인 운영체제를 구축하게 된다. 


또 다른 공격 방식은 n8n을 기기 식별(fingerprinting)에 악용하는 방식이다.


구체적으로는 이메일에 보이지 않는 이미지나 트래킹 픽셀을 삽입한다.


이 픽셀은 n8n 웹훅 URL에 호스팅된다.


사용자가 이메일을 열면, n8n URL에 자동으로 HTTP GET 요청이 전송된다.


이 과정에서 사용자의 이메일 주소와 같은 추적 매개변수가 전달된다.


공격자는 이를 통해 피해자를 식별할 수 있게 된다. 


보안 연구진은 "개발자의 수작업 시간을 줄이기 위해 설계된 동일한 워크플로가 유연성과 통합 용이성, 자동화 기능을 바탕으로 재활용되고 있다"고 밝혔다.


또한 "이러한 기능이 악성코드 유포와 기기 식별 자동화에 악용되고 있다"고 설명했다.


이어 "로우코드 자동화 기술이 계속 활용되는 만큼, 이러한 플랫폼과 도구가 위협이 아닌 자산으로 유지되도록 하는 것은 보안팀의 책임"이라고 설명했다.




출처

https://thehackernews.com/2026/04/n8n-webhooks-abused-since-october-2025.html

목록