이메일 스푸핑은 누군가가 가짜 발신자 주소를 사용하여 신뢰할 수 있는 이메일 메시지를 보내는 위협입니다. 이메일 프로토콜은 자체적으로 소스를 인증하거나 검증할 수 없기 때문에, 스팸 발송자나 위협 행위자에게 쉽게 속을 수 있습니다. 이메일 게이트웨이 또한 스푸퍼가 주소를 공식 주소처럼 위장하기 때문에 실제 발신자로부터 온 것으로 인식하게 됩니다.
이 가이드에서는 이메일 스푸핑이 무엇인지 살펴봅니다. 이메일 스푸핑 공격을 예방하는 방법에 대해 명확하게 이해할 수 있습니다. 곧 자세히 설명하겠습니다.
.jpg)
이메일 스푸핑 예방이 중요한 이유는 무엇인가?
스푸핑은 1006년부터 존재해왔습니다. 해커들은 허위 신용카드 번호로 가짜 AOL 계정을 만들어 사용자를 스팸했습니다. 이런 의미에서 스푸핑의 기원은 피싱으로 거슬러 올라갑니다.
하지만 이메일 스푸핑은 다른 방식으로 작동합니다. 이를 예방하는 것이 중요한 이유는 브랜드 평판을 훼손하고 개인적으로도 피해를 줄 수 있기 때문입니다. 예를 들어, 이메일 스푸퍼는 온라인 이미지를 손상시키거나, 클릭을 유도해 특정 유형의 악성코드를 유포하고, 디지털 생활을 원격으로 제어할 수 있습니다.
한 번 스푸핑을 당하면, 사칭이 가능합니다. 이메일 신원이 그들의 손에 들어가면, 사기성 송금, 인보이스 사기, 그리고 스푸핑 공격을 통해 다른 자격 증명을 수집하여 추가적인 사이버 범죄 활동에 사용할 수 있습니다. 고객과 파트너 역시 스푸핑된 ID가 사칭 및 도메인 사기와 연관되면 신뢰를 잃게 됩니다. 이메일 스푸핑 공격으로 인한 데이터 유출로 CCPA, GDPR과 같은 컴플라이언스 정책을 위반할 경우, 기업은 막대한 벌금을 부과받을 수 있습니다.
이메일 스푸핑은 어떻게 작동하는가?
이메일 스푸핑은 Simple Email Transfer Protocol(SMTP)의 근본적인 취약점을 악용합니다. 공격자는 다음과 같은 필드의 정보를 조작합니다:
- From
- Reply-To
- Subject
유사 이메일 주소는 매우 흔합니다. 그 방법은 다음과 같습니다.
예를 들어, 공식 이메일 주소가 "customersupport@microsoft.com"이라고 가정해봅시다.
스푸핑된 이메일 주소는 "customersupport@micros0ft.com" 또는 "customercare@microsoft.org"와 같이 생성될 수 있습니다.
이메일 스푸핑은 사용자의 신뢰와 순진함을 이용하며, 알려진 또는 권위 있는 소스에서 온 것처럼 보입니다. 이를 면밀히 확인하지 않으면 쉽게 속아 상호작용하게 됩니다. 공격자는 또한 침해된 SMTP 서버를 사용해 도메인 스푸핑을 수행할 수 있습니다. 이 경우 실제 합법적인 회사 도메인을 사용해 스푸핑이 가능합니다. 표시 이름 스푸핑도 흔한데, 이메일 주소록에 있는 신뢰받는 연락처의 이름으로 표시 이름을 변경할 수 있기 때문입니다.
일반적인 이메일 스푸핑 공격 유형
알아두어야 할 다양한 이메일 스푸핑 공격 유형이 있습니다. 첫 번째는 CEO 사기(비즈니스 이메일 침해)입니다. 이는 누군가가 회사의 CEO 또는 고위 임원을 사칭하는 경우입니다. 이들은 긴급 송금을 요청하거나 민감한 데이터를 요구합니다.
공격자는 Reply-to 필드를 조작하여 헤더를 제어할 수 있습니다. 커즌 도메인도 악명 높으며, 단어 또는 구절을 미묘하게 오타내거나 잘못 표기하여 사용자를 혼동시키는 또 다른 이메일 스푸핑 전술입니다. 예를 들어, pay1pal.com 대신 원래의 paypal.com을 사용하는 경우입니다.
공격자는 또한 검열되지 않은 AI 도구를 사용해 이메일 서명을 위조할 수 있습니다. AI가 발전함에 따라, 이러한 도구를 활용해 피해자 프로필을 파악하고, 온라인 상에서 누구와 상호작용하는지 확인하며, 글쓰기 스타일, 목소리, 어조를 훔칠 수 있습니다. 이를 바탕으로 매우 설득력 있는 이메일을 작성하고, 스푸핑된 도메인을 등록해 해당 도메인에서 이메일을 보내 사용자를 유인할 수 있습니다.
이메일 스푸핑 공격의 경고 신호
이메일 스푸핑 공격의 경고 신호는 다음과 같습니다:
- 표시 이름과 이메일 주소가 일치하지 않거나 관련 없는 이메일 주소는 이메일 스푸핑의 명확한 신호입니다. "Reply-To" 주소가 일치하지 않으면 스푸핑된 주소임을 알 수 있습니다.
- 인증 헤더 실패 또는 "Softfail"과 같은 상태는 이메일이 위조되었음을 나타냅니다. DMARC 및 DKIM 결과를 반드시 확인해야 합니다.
- Microsoft Outlook과 같은 많은 조직에서 외부 발신자 배너 경고를 제공합니다. 이는 이메일이 외부 또는 검증되지 않은 소스에서 왔음을 알려줍니다.
- 극도의 긴급성, 행동상의 이상 징후, 의심스러운 하이퍼링크(클릭하지 않고 마우스를 올렸을 때)는 스푸핑 이메일 캠페인의 또 다른 일반적인 신호입니다.
- 이메일 내용에 문법적 오류가 많고 오타가 많다면, 스푸핑임이 명백해집니다.
이메일 스푸핑 예방 방법: 모범 사례
다음은 이메일 스푸핑을 예방하는 8가지 모범 사례입니다. 이는 2026년 이메일 스푸핑 예방의 주요 방법으로도 고려할 수 있습니다:
- DMARC 정책을 차단 모드로 설정하고, 올바른 SPF 및 DKIM 레코드가 누락되지 않았는지 확인하십시오. SPF 헤더 실패 보고서를 전송하고 익명 직접 전송을 비활성화하십시오.
- 이메일을 하위 도메인에서 발송하기 시작하십시오. 이는 스푸핑을 더 어렵게 만듭니다. IT 팀이 도메인 네임 시스템(DNS)을 업데이트하고, 발신자 정책 프레임워크와 메일박스 교환 레코드를 추가하도록 하십시오.
- 이메일 스푸핑을 방지하기 위해 안티멀웨어 소프트웨어를 사용해야 합니다. 의심스러운 웹사이트를 자동으로 차단하고, 이메일이 받은 편지함에 도달하지 못하도록 차단합니다.
- 이메일 서명 인증서를 활용하십시오. 이는 발신 이메일을 보호하는 데 도움이 됩니다. 또한 강력한 이메일 암호화 키를 사용해 메시지와 첨부 파일을 암호화한 후 수신자에게 전송하는 것을 권장합니다.
- 실제 발신자를 확인하려면 역 IT 조회를 수행하십시오.
- DMARC를 사용해 이메일 계정을 감사하십시오. 이메일 자격 증명을 확인하고, 발송되는 메시지를 인증하십시오.
- DomainKeys Identified Mail(DKIM)을 사용해 발신 이메일에 암호화된 디지털 서명을 추가할 수 있습니다. 2048비트 키 사용을 권장합니다. Brand Indicators for Message Identification(BIMI)도 도입해 수신자 받은 편지함에 검증된 로고를 표시하십시오.
- AI 기반 이메일 보안 플랫폼을 도입해 자동으로 인바운드 및 아웃바운드 필터링을 수행하십시오. 이를 통해 이메일 스푸핑 공격을 실시간으로 차단할 수 있습니다.
이메일 스푸핑을 허용하는 일반적인 실수
이메일 스푸핑을 허용하는 일반적인 실수는 다음과 같습니다:
- 첫 번째 실수는 DMARC를 모니터링 전용 모드로 유지하는 것입니다. 많은 기업이 DMARC를 활성화해 보고서를 받지만, 실제로 해당 이메일을 거부하거나 격리하는 조치를 취하지 않습니다.
- 또 다른 흔한 실수는 SPF 레코드 오구성입니다. SPF는 타사 이메일 서비스의 DNS 조회를 10회로 제한합니다. Salesforce, HubSpot, Mailchimp, Zendesk 등 여러 도구를 대리 발송자로 등록하면 이 한도에 도달해 인증에 실패할 수 있습니다. SPF가 실패하면 합법적인 이메일도 반송됩니다.
- 도메인 불일치는 조직에서 자주 발생하는 문제입니다. 실제 "From" 주소가 DMARC에 인증된 주소와 일치하지 않습니다. 타사 이메일 서비스 제공업체는 기본적으로 자체 도메인으로 이메일에 서명하며, 별도로 사용자 지정 DKIM 서명을 구성하지 않으면 그대로 유지됩니다. 사용자는 "support@yourcompany.com"에서 온 이메일을 보지만, 실제 인증은 "mail.sendingservice.com"에서 이루어집니다. DMARC 정렬이 실패하고, 이메일이 의심스럽거나 완전히 거부될 수 있습니다. 반면 공격자는 정렬을 신경 쓰지 않고 자체 버전을 위조합니다.
- 잊혀진 하위 도메인은 대부분의 기업이 간과하는 사각지대입니다. 기본 도메인은 엄격한 DMARC 정책으로 보호하지만, test.yourcompany.com, dev.yourcompany.com, 또는 오래된 인수 도메인은 방치되어 있습니다. 공격자는 이러한 "잊혀진" 도메인을 스푸핑 대상으로 삼습니다. 합법적으로 보이지만 보호되지 않아 위협 행위자에게는 사실상 무료 자산입니다.
- 현대 인증 없이 여전히 운영되는 레거시 이메일 프로토콜도 또 다른 취약점입니다. MFA가 적용되지 않은 POP3 및 IMAP은 스푸핑 방어를 완전히 우회합니다. 공격자는 자격 증명을 무차별 대입하거나 유출된 비밀번호를 사용해 메일 서버에서 직접 메일을 발송할 수 있습니다. DMARC 정책으로도 차단할 수 없습니다. 이 경우 스푸핑이 아니라 인증된 발신이기 때문입니다.
- 강력한 통제가 있더라도, 타사 벤더에게 과도한 권한을 부여하면, 하나의 벤더 계정이 침해될 경우 공격자에게 열린 채널이 됩니다. 신뢰된 네트워크 내부에서 메일을 발송하므로 위조가 합법적으로 보입니다.
SentinelOne은 이메일 스푸핑 공격을 어떻게 차단하는가?
이메일 스푸핑 방지는 일반적으로 여러 계층으로 이루어집니다. 인증 프로토콜이 한 부분을 담당하고, 이메일 게이트웨이가 또 다른 부분을 담당합니다. SentinelOne은 행동 기반 탐지와 엔드포인트 대응을 통합하여, 다른 방어를 우회한 스푸핑 공격까지 탐지하는 차별화된 접근 방식을 제공합니다.
SentinelOne의 행동 기반 AI 엔진은 엔드포인트에서 비정상적인 이메일 및 인증 패턴을 탐지합니다. 침해된 사용자 계정이 갑자기 수천 통의 이메일을 발송하거나, 예상치 못한 위치에서 로그인하거나, 스푸핑된 메시지 열람 후 데이터 유출이 발생하면 플랫폼이 이를 탐지합니다. 시그니처 기반 도구가 새로운 공격을 놓치는 반면, SentinelOne의 AI는 환경의 "정상" 상태를 학습하고, 즉시 이상 징후를 경고합니다. 성공적인 스푸핑 이후 공격자가 횡적 이동이나 추가 피해를 입히기 전에 이를 차단합니다.
스푸핑 공격이 이메일 필터를 우회해 침투하더라도, SentinelOne의 Network Discovery 기능은 네트워크 내 모든 장치를 매핑하고 위험한 인프라를 식별합니다. 오픈 릴레이 서버, 패치되지 않은 시스템, 레거시 프로토콜을 실행하는 장치가 가시화됩니다. 플랫폼은 해당 시스템을 자동으로 격리하거나 이메일 기능을 제한해, 스푸핑 트래픽이 확산되기 전에 차단할 수 있습니다.
Mimecast와 같은 이메일 보안 도구와의 통합으로 대응력이 강화됩니다. SentinelOne이 스푸핑된 이메일과 연관된 악성 활동을 탐지하면, 이메일 시스템과 자동으로 연동해 침해된 사용자의 메일 발송 권한을 중지하거나, 추가 메시지를 격리하거나, 발신자를 완전히 차단합니다. 이는 머신 속도로 이루어지며, 분석가가 수동으로 계정을 차단할 때까지 기다릴 필요가 없습니다.
스푸핑 캠페인이 방어를 뚫고 침투하더라도, SentinelOne의 Storyline 기술은 최초 이메일 수신부터 엔드포인트 침해, 데이터 유출까지 전체 공격 체인을 시각화합니다. 보안팀은 어떤 이메일이 열렸고, 어떤 파일이 접근되었으며, 데이터가 어디로 이동했는지 정확히 파악할 수 있습니다. 이러한 심층 가시성은 침해 범위를 이해하고 유사 공격에 대한 방어를 강화하는 데 도움이 됩니다.
SentinelOne은 인프라 측면도 지원합니다. AI 기반 취약점 관리를 통해 잊혀진 하위 도메인, 오픈 릴레이, 패치되지 않은 소프트웨어를 실행하는 시스템 등 공격자가 스푸핑에 악용하는 요소를 식별합니다. 이를 통해 가장 중요한 취약점을 우선적으로 해결할 수 있으며, 방대한 패치 목록에 매몰되지 않습니다. 정기적인 보안 감사와 DMARC p=reject와 같은 강력한 인증 프로토콜을 결합하면, SentinelOne은 스푸핑 시도와 공격자의 후속 행위를 모두 차단하는 다계층 방어를 제공합니다.
결론
이제 이메일 스푸핑 공격의 구성 요소를 이해하셨을 것입니다. 이메일 스푸핑 공격을 예방하는 방법과 기업을 방어하기 위해 추가로 할 수 있는 조치에 대해 명확히 알게 되었습니다. 경계를 유지하고, 이메일 스푸핑 예방 팁을 활용하여 이메일 보안을 대폭 강화하시기 바랍니다. 더 많은 지원이 필요하다면 SentinelOne 팀에 문의하십시오.
자주 묻는 질문
이메일 스푸핑은 공격자가 이메일 헤더의 발신자 주소를 위조하는 행위입니다. 이들은 발신자 신원을 검증하지 않는 SMTP 프로토콜의 취약점을 악용하여, 신뢰할 수 있는 연락처나 조직에서 온 것처럼 메시지를 가장합니다. 이는 디지털 사칭과 유사하며, 사이버 범죄자는 'From' 필드를 조작해 악성 첨부파일을 열거나, 위험한 링크를 클릭하거나, 민감한 정보를 공유하도록 속입니다. 피싱 및 비즈니스 이메일 침해 공격에서 흔히 사용되는 기법입니다.
도메인에 SPF, DKIM, DMARC 인증 프로토콜을 적용해야 합니다. 이를 통해 이메일이 실제로 권한이 있는 서버에서 발송되었는지 검증할 수 있습니다. 또한, 실제 피싱 시도를 모의하는 인터랙티브 워크숍을 통해 직원 교육을 정기적으로 실시해야 합니다. 이메일 트래픽에서 비정상적인 패턴을 모니터링하는 것도 도움이 됩니다. 보안 도구를 최신 상태로 유지하고, 직원들이 의심스러운 메시지를 피해 발생 전에 자신 있게 신고할 수 있는 문화를 조성하세요.
표시 이름과 실제 이메일 주소가 일치하지 않는지 확인하세요. 공격자는 종종 철자를 약간 바꾸거나 비슷해 보이는 다른 도메인을 사용합니다. 인사말이 개인화되지 않고 일반적이라면 주의해야 합니다. 문법 오류와 긴급한 요구도 경고 신호입니다. 링크를 클릭하기 전에 마우스를 올려 실제 목적지를 확인하세요. 이메일 헤더의 인증 검사에서 'fail'이 표시된다면 명확한 경고 신호입니다.
네, 이메일 스푸핑은 교묘한 기법을 사용해 스팸 필터를 우회할 수 있습니다. 공격자는 표시 주소를 변경하면서 기술적 발신자 필드는 정상으로 유지하여 이메일 헤더를 조작합니다. 때로는 흰색 배경에 흰색 텍스트를 숨기거나 신뢰할 수 있는 것처럼 보이도록 불필요한 내용을 추가하기도 합니다. 일부 스푸핑된 이메일은 합법적으로 탈취된 계정에서 발송되어 인증 검사를 통과하기도 합니다. 따라서 단순한 스팸 필터링을 넘어 다계층 보안이 필요합니다.
CanIBeSpoofed와 같은 무료 도구를 사용해 도메인의 SPF 및 DMARC 레코드 취약점을 점검할 수 있습니다. Microsoft Defender for Office 365는 고급 필터링을 통한 안티-스푸핑 보호 기능을 제공합니다. Trustifi의 Inbound Shield는 AI를 활용해 헤더를 분석하고 사칭을 탐지합니다. Keepnet은 여러 위협 엔진을 통한 피싱 이메일 분석을 지원합니다. 이러한 도구들은 스푸핑 시도가 직원의 받은 편지함에 도달하기 전에 식별하는 데 도움이 됩니다.
