본문 바로가기
IT적응기

피싱 이메일 분석 (메일 헤더, 발신자 확인, 모의 훈련)

by IT적응기 2026. 7. 3.

피싱 이메일 분석 (메일 헤더, 발신자 확인, 모의 훈련)
피싱 이메일 분석 (메일 헤더, 발신자 확인, 모의 훈련)

업무 중 받은 메일 하나가 사실 계정 탈취를 노린 피싱이었다면 어떨까요. 저는 실제로 그 상황을 겪었습니다. MS 로고까지 붙어 있던 그 메일, 발신자 주소를 끝까지 읽지 않았다면 그냥 클릭했을 겁니다. 피싱 이메일은 이미 '조잡한 스팸'이 아닙니다. 지금 이 순간도 정교하게 위장된 채 누군가의 받은편지함에 도착하고 있습니다.

피싱 이메일, 어떤 키워드로 위장하고 있을까

혹시 최근 받은 메일 중에 "결제 확인 요청"이나 "배송 조회"라는 제목이 있었다면, 한 번쯤 의심해보셨나요.

통계를 보면 그 의심이 결코 과민반응이 아님을 알 수 있습니다. 2024년 2분기 피싱 이메일 분석 결과에 따르면, 공격자가 제목에 가장 많이 사용한 키워드 유형은 '결제·구매'로 전체의 27.7%를 차지했습니다. Payment, Order, Invoice 같은 단어들이 대표적입니다. 뒤를 이어 '배송·물류' 관련 키워드가 20.6%로 2위였는데, Delivery나 Shipment, Customs 같은 표현으로 유명 물류 업체를 사칭하는 방식이었습니다(출처: AhnLab ASEC).

제가 외국 거래처와 이메일을 자주 주고받는 업무를 하다 보니, 이 패턴이 특히 눈에 밟혔습니다. Invoice라는 단어가 제목에 들어오면 자연스럽게 열게 되거든요. 공격자들은 바로 그 습관을 파고듭니다. 일상적인 업무 맥락과 완벽하게 섞이도록 키워드를 고르는 것입니다.

스피어 피싱(Spear Phishing)이라는 개념도 여기서 중요합니다. 스피어 피싱이란 불특정 다수를 겨냥한 일반 피싱과 달리, 특정 조직이나 개인을 사전에 조사한 뒤 맞춤형으로 제작한 공격을 말합니다. 최근에는 AI가 생성한 피싱 메일이 문법 오류 하나 없이 실제 동료나 임원의 이름과 말투까지 모방하는 수준에 이르렀습니다. 저는 이 부분이 가장 무섭다고 생각합니다. 과거처럼 어색한 번역체나 오탈자로 걸러내던 시대가 사실상 끝났기 때문입니다.

  • 결제·구매 키워드(Payment, Order, Invoice): 전체 피싱의 27.7% — 가장 흔한 위장 유형
  • 배송·물류 키워드(Delivery, Shipment, Customs): 20.6% — 물류 업체 사칭에 주로 사용
  • 스피어 피싱: 특정 대상을 조사해 제작한 맞춤형 피싱으로, AI 생성 문장으로 더욱 정교해지는 추세
요약: 피싱 이메일은 결제·배송 관련 키워드로 업무 맥락에 위장하며, AI 기반 스피어 피싱으로 점점 더 정교해지고 있습니다.

메일 헤더 분석으로 실체를 드러내는 법

그렇다면 정교하게 위장된 피싱 메일을 어떻게 걸러낼 수 있을까요. 저는 직접 경험하고 나서야 메일 헤더(Mail Header) 분석이 얼마나 강력한 도구인지 알게 됐습니다.

메일 헤더란 눈에 보이는 발신자 이름이나 제목 뒤에 숨겨진 전송 경로 정보 전체를 말합니다. 어떤 서버를 거쳐 왔는지, 발신자 인증은 통과했는지가 모두 여기에 담겨 있습니다. 제가 받았던 "Microsoft 365 계정이 만료됩니다"라는 메일도, 겉으로는 MS 로고와 깔끔한 디자인을 갖췄습니다. 하지만 발신자 주소를 끝까지 읽으니 'microsoft-support@officemail365-secure.net'이었습니다. 공식 microsoft.com 도메인이 아닌 전혀 관계없는 도메인이었죠.

헤더를 열어보니 상황은 더 명확해졌습니다. Received 헤더를 보면 메일의 실제 전송 경로가 나타나는데, 그 메일은 동유럽 서버를 경유하고 있었습니다. 여기에 SPF와 DKIM 인증이 모두 실패 상태였습니다. SPF(Sender Policy Framework)란 해당 도메인에서 메일을 보낼 권한이 있는 서버 목록을 미리 등록해두고, 실제 발송 서버와 대조하는 인증 방식입니다. DKIM(DomainKeys Identified Mail)은 메일 내용이 전송 중에 변조되지 않았는지 디지털 서명으로 검증하는 기술입니다. 이 두 인증이 동시에 실패했다는 건, 해당 메일이 microsoft.com과 아무런 관련이 없는 서버에서 발송됐다는 뜻입니다(출처: IGLOO Security).

결정적으로, 첨부된 링크에 마우스를 올려보니(호버링) 실제 연결 주소가 'office-verify-now.xyz'였습니다. 클릭했다면 가짜 로그인 페이지로 이동해 계정 정보를 탈취당했을 겁니다. 2025년 3월 피싱 이메일 분석 보고서에 따르면, 첨부파일 위협 중 FakePage(가짜 로그인 페이지) 유형이 전체의 59%로 가장 많았습니다. 공격자들은 HTML 스크립트로 실제 서비스의 로고와 폰트까지 그대로 복제해 사용자가 계정과 패스워드를 입력하도록 유도하고, 이를 C2 서버(Command and Control Server, 공격자가 탈취한 정보를 수집하는 외부 서버)로 전송합니다.

단계별 직접 분석 방법

제가 이 경험 이후로 정리한 확인 순서는 다음과 같습니다. 발신자 이름이 아닌 이메일 주소 자체를 도메인 수준까지 읽는 것이 출발점입니다. 예를 들어 noreply@amaz0n.com처럼 숫자 0이 섞인 유사 도메인은 흘려보면 그냥 지나칩니다. 다음으로 헤더에서 Return-Path와 From 주소가 다른지 확인합니다. 이 둘이 다르다면 발신자 정보가 조작됐을 가능성이 높습니다. 링크는 클릭 전 반드시 호버링으로 실제 URL을 확인하고, 의심스러운 파일이나 URL은 VirusTotal.com에 검색해보는 것도 좋습니다. 마지막으로, "지금 즉시 확인하지 않으면 계정이 삭제됩니다" 같은 긴박감 조성 문구가 있다면, 그 자체로 강력한 피싱 신호입니다.

요약: 메일 헤더의 Received 경로, SPF·DKIM 인증 실패, 링크 호버링 세 가지만 확인해도 피싱 메일 대부분을 걸러낼 수 있습니다.

모의 훈련과 조직 문화, 기술보다 중요한 것

기술적인 분석법을 알게 됐다고 해서 문제가 완전히 해결될까요. 솔직히 이건 예상 밖이었습니다. 분석 방법을 동료들에게 공유했을 때, 돌아온 반응 중 상당수가 "그런 걸 일일이 어떻게 확인하냐"였습니다. 바쁜 업무 중에 매 메일의 헤더를 열어보기란 현실적으로 어렵습니다. 그렇다면 조직은 어떻게 접근해야 할까요.

제가 제안했던 것 중 가장 현실적으로 받아들여진 것은 두 가지였습니다. 하나는 처음 거래하는 외국 거래처에서 Invoice 메일이 오면 전화나 별도 채널로 발송 여부를 한 번 더 확인하는 절차를 도입하는 것이었습니다. 번거롭게 느껴질 수 있지만, 실제 금전 피해를 막는 데는 가장 확실한 방법입니다. 또 하나는 모의 피싱 훈련(Phishing Simulation)입니다. 모의 피싱 훈련이란 조직 내부에서 직접 가짜 피싱 메일을 발송해 직원들의 반응을 측정하고, 클릭한 직원에게 즉시 교육을 연결하는 방식입니다.

여기서 문화가 핵심입니다. 모의 훈련에서 링크를 클릭한 직원을 처벌하거나 망신을 주는 방식은 역효과를 낳습니다. 제 경험상 이건 좀 다릅니다. 클릭한 사실을 숨기다가 실제 피해가 벌어진 뒤에야 IT팀이 알게 되는 경우가 훨씬 위험합니다. 클릭을 신고하면 교육으로, 클릭을 숨기면 침해사고로 이어지는 구조가 만들어져야 합니다. 조직의 피싱 대응력은 결국 기술 도구가 아니라 "의심하고 신고하는 것이 자연스러운 분위기"에서 나온다고 생각합니다.

요약: 모의 피싱 훈련은 처벌이 아닌 교육으로 연결될 때 효과를 발휘하며, 의심을 자연스럽게 신고하는 문화가 조직 보안의 실질적인 기반입니다.

자주 묻는 질문

Q. 발신자 이름이 회사 임원으로 표시돼 있으면 믿어도 되나요?

A. 발신자 이름은 누구든 임의로 설정할 수 있어서 신뢰의 근거가 되지 않습니다. 반드시 이름 옆에 표시된 이메일 주소 자체를 확인해야 합니다. 회사 공식 도메인과 다른 주소라면, 아무리 이름이 익숙해도 스피어 피싱을 의심해야 합니다.

Q. SPF, DKIM 인증 실패 여부를 일반 직원이 확인할 수 있나요?

A. Gmail 기준으로 메일을 열고 우측 상단 점 세 개 메뉴에서 '원본 보기'를 선택하면 헤더 전체가 나타납니다. 여기서 'spf=fail' 또는 'dkim=fail' 문자열을 검색하면 인증 실패 여부를 직접 확인할 수 있습니다. 처음엔 낯설어 보여도 한 번만 해보면 금방 익숙해집니다.

Q. 피싱 링크를 실수로 클릭했다면 바로 어떻게 해야 하나요?

A. 클릭 직후 어떤 정보도 입력하지 않는 것이 가장 중요합니다. 즉시 네트워크를 끊고 IT 보안팀이나 담당자에게 알리는 것이 다음 단계입니다. 숨기는 것이 가장 나쁜 선택입니다. 빠른 신고가 피해 범위를 결정합니다.

Q. 의심스러운 URL을 안전하게 확인하는 방법이 있나요?

A. VirusTotal.com에 접속해 URL을 붙여 넣거나, 의심 파일의 해시값을 검색하면 수십 개의 보안 엔진이 동시에 분석한 결과를 무료로 확인할 수 있습니다. 링크를 직접 클릭하지 않고도 악성 여부를 파악할 수 있어, 제가 의심 메일을 검토할 때 가장 먼저 쓰는 도구입니다.

결론

피싱 이메일은 기술이 정교해질수록 단순한 보안 지식만으로는 막기 어려워지고 있습니다. 제가 직접 겪어보니, 결국 가장 먼저 작동하는 방어선은 "뭔가 이상하다"고 느끼는 감각입니다. 그 감각을 훈련하는 것이 모의 피싱 훈련의 본질이고, 발신자 주소를 끝까지 읽는 습관이 그 첫걸음입니다.

오늘 받은 Invoice 메일 하나, 배송 알림 하나를 다시 한번 확인해보시겠습니까. 도메인 한 글자 차이가 계정 하나를 지킵니다.

참고: AhnLab ASEC, "2025년 3월 피싱 이메일 동향 보고서" (asec.ahnlab.com, 2025.05) | AhnLab ASEC, "2024년 2분기 피싱 이메일 통계 보고서" (asec.ahnlab.com, 2024.07) | Fortinet, "피싱 이메일 분석을 위한 5가지 간단한 팁" (fortinet.com/kr) | IGLOO Security, "스팸 메일 패턴 분석 및 탐지 방법" (igloo.co.kr) | KISA 공공데이터포털, "피싱 메일 공격 사례 분석 및 대응 방안" (data.go.kr)


소개 및 문의 · 개인정보처리방침 · 면책조항

© 2026 깜짝,황금이 아빠 IT적응기

서치어드바이저