스팸메일 주의사항 및 실제 사례

스팸메일 주의사항 및 실제 수신 사례 기반 분석 보고서

최근 기업 메일 계정(support@example-company.kr)으로 유입된 스팸메일 3건을 분석한 결과, 피싱·계정 탈취·악성 파일 유포를 목적으로 한 최신 공격 기법이 여러 가지 확인되었다. 이 문서는 해당 사례를 기반으로 한 공격 패턴, 위험 요소, 대응 절차와 함께 PDF/이미지(IMG) 기반 피싱 탐지 방법까지 정리한 보안 안내문이다.

1️⃣ 최근 스팸메일 3건에서 공통적으로 발견된 특징

• 회사 부서·직원명 위장 — “재무팀”, “메일서버 관리자”, “급여 담당자” 등으로 사칭
• 첨부파일(PDF)로 위장된 외부 링크 — 실제로는 피싱 서버(C2)로 연결
• 저가 도메인(.xyz 등) 기반 악성 URL — appearedprotect.xyz, secureccportal.xyz 등
• Base64 인코딩 URL 사용 — c3VwcG9ydEBleGFtcGxlLWNvbXBhbnkua3I= 형태
• 외부 IP → 내부 메일 게이트웨이 → 사용자 구조의 비정상 릴레이
• HTML 버튼 클릭 유도형 피싱 페이지 — “설정 문제 즉시 해결”, “급여서류 확인” 등의 문구 사용

2️⃣ 스팸메일 실제 사례 분석

📌 사례 1 — “메일 서버 설정 오류” 위장 피싱

• 발신: support@clergyserve.com (회사와 무관한 도메인)
• 제목: “메일 서버 설정 오류 감지 → 계정 확인 필요”
• 내용: 메일이 정상적으로 전송되지 않고 있으니, 버튼을 눌러 “설정 문제를 즉시 해결하라”고 유도
• 버튼 링크: https://copoprad.sk/wp-admin/index.html#c3VwcG9ydEBleGFtcGxlLWNvbXBhbnkua3I= 와 같이 정상 사이트 + Base64 파라미터 형태로 위장
• 위험: 사내 메일 계정 로그인 페이지를 흉내 낸 피싱 페이지로 연결되어 계정 아이디/비밀번호 탈취 가능

📌 사례 2 — “10월 급여서류 안내” 위장 스팸

• 발신: accountant@sitessecureserver.com
• 표시된 문서명: “2025년 10월 급여서류.pdf (51.2KB)”
• 실제 동작: PDF 아이콘·파일 크기까지 표시되지만, 클릭 시 https://appearedprotect.xyz/... 로 이동
• 위험: 악성 코드가 포함된 파일을 다운로드하거나, 브라우저 취약점을 노리는 스크립트 실행 가능

📌 사례 3 — “급여 관련 파일 첨부” 위장 스팸

• 발신: accountant@example-company.kr 처럼 보이도록 표기(From 표시 위장)
• 표시된 문서명: “2025년 10월 급여 서류.pdf (55.1KB)”
• 실제 링크: https://secureccportal.xyz/... 로 연결
• 위험: 회사 내부 재무팀 메일처럼 보여 사용자가 별 의심 없이 열어볼 가능성이 높음

3️⃣ 공격자가 사용하는 대표 위장 기법

• 부서명·직책 사칭 — 재무팀, 회계팀, IT운영팀, 보안팀 등으로 위장
• 급여·세금·메일 오류 키워드 사용 — “급여서류”, “정산서류”, “메일 오류”, “보안경고” 등으로 긴급성 유도
• PDF/문서 UI로 꾸미기 — 아이콘, 파일 크기, 확장자(.pdf)를 그대로 흉내 내 사용
• 정상 사이트와 조합된 URL — 일부는 wp-admin, index.html 등을 섞어 워드프레스 관리자 페이지처럼 위장
• Base64 인코딩 — == 로 끝나는 문자열을 URL 뒤에 붙여 공격 파라미터 은폐

4️⃣ 메일 헤더 분석 시 확인해야 할 핵심 포인트

Received: from [185.81.xxx.xxx] → 해외 의심 IP  
DKIM-Signature: d=clergyserve.com → 실제 회사 도메인과 불일치  
X-TMSESPAM: YES → 스팸 엔진에서 이미 의심 메일로 분류  
Return-Path / From / Reply-To 도메인 불일치 → 스푸핑 가능성  

위 항목 중 두세 개만 겹쳐도 실제로는 거의 99% 피싱/스팸 메일로 봐도 무방하다.

5️⃣ 기술적 위험 요소 정리

• 피싱 페이지를 통한 계정 탈취 — 회사 메일, 그룹웨어, VPN 계정까지 연쇄 탈취 가능
• 악성 실행 파일 다운로드 — 랜섬웨어, 키로거, 백도어 설치로 이어질 수 있음
• 브라우저 취약점 공격 — PDF 뷰어나 플러그인 취약점을 악용해 무단 코드 실행
• 내부망 확산 — 한 계정만 탈취되어도 회사 글로벌 주소록을 활용해 2차 피싱 확산 가능

6️⃣ 스팸·피싱 메일 대응 절차 (7단계)

1. 의심 메일 수신 시 링크 클릭·첨부 실행 즉시 중단
2. Outlook 기준: [파일 → 정보 → 속성 → 인터넷 헤더]에서 발신지·도메인 확인
3. URL 중 .xyz, .top 등 생소한 도메인, Base64 문자열(==) 포함 여부 확인
4. 의심 메일은 스크린샷 및 헤더와 함께 보안 담당자에게 전달
5. 혹시 클릭했다면 즉시 비밀번호 변경 및 MFA 설정 상태 확인
6. 보안팀에서 해당 PC의 다운로드 기록·이벤트 로그·프로세스 이력 점검
7. 메일 게이트웨이/보안장비에 관련 도메인·IP 차단 룰 등록

7️⃣ 재발 방지를 위한 기본 원칙

• 중요 계정(메일·VPN·관리자 계정)은 MFA(OTP) 필수 적용
• “급여/보너스/세금/보안 경고” 메일은 항상 두 번 확인 (보안팀 or 실제 담당자에게 직접 문의)
• “PDF 다운로드 링크” 형태는 무조건 의심하고, 사내 포털에서 직접 문서를 확인
• URL에 Base64 인코딩(이상한 영어+숫자+==)이 포함되어 있으면 매우 높은 확률로 악성
• 보안 교육 시 실제 사례(이번 메일들)를 샘플로 사용해 반복 인지 훈련

8️⃣ PDF/IMG 기반 피싱 탐지 방법

최근 공격자는 PDF 파일과 이미지(IMG)를 이용해 피싱을 시도하는 경우가 많다. 특히 메일 본문에 “급여명세서.pdf”, “세금 계산서.pdf”, “보안 경고 스크린샷” 등으로 위장한 뒤, 사용자가 의심 없이 열어보도록 유도하는 방식이 대표적이다.

8-1. PDF 기반 피싱 탐지 포인트

• PDF가 실제 첨부가 아니라 ‘링크’로만 제공되는 경우
  - 예) “급여서류.pdf (51.2KB)” 라고 쓰여 있지만, 클릭하면 https://무명도메인.xyz/... 로 이동 - 진짜 PDF 첨부인지, HTML 링크인지를 먼저 확인해야 한다.
• 열자마자 로그인 페이지로 리다이렉트되는 PDF
  - PDF 파일을 열었는데 브라우저에서 자동으로 로그인 화면이 나타난다면 거의 100% 피싱이다.
• PDF 안에 ‘로그인/비밀번호 입력’ 폼이 있는 경우
  - 정상 문서는 보통 계정 입력을 요구하지 않는다. - PDF 내부에 버튼(“비밀번호 재설정”, “보안 확인”)이 있고, 누르면 외부 사이트로 이동하면 의심.
• 메시지 내용이 과도하게 긴급하거나 위협적일 때
  - “24시간 이내 미확인 시 계정 영구 잠금”, “지금 확인하지 않으면 급여 지급 보류” 등은 대표적인 심리 공격 패턴.
• PDF 뷰어에서 보안 경고가 반복 표시되는 경우
  - 매크로, 스크립트, 외부 연결 허용 여부를 과도하게 묻는다면 열람을 중단하는 것이 좋다.

8-2. 이미지(IMG) 기반 피싱 탐지 포인트

• 이미지 전체가 하나의 큰 버튼처럼 동작하는 경우
  - 예) 급여명세서 스크린샷처럼 보이지만, 클릭하면 바로 로그인 페이지로 이동.
• 이미지 위에 “문서 보기”, “지금 확인” 등 버튼이 합성되어 있는 경우
  - 메일 클라이언트에서 이미지 클릭 → 브라우저에서 알 수 없는 도메인 로드 - 이런 경우는 대부분 이미지를 미끼로 쓰는 피싱 링크이다.
• 이미지 URL이 회사 도메인과 무관한 CDN/도메인인 경우
  - 예) https://randomcdn-123.xyz/image/... - 회사 공지/급여 안내라면 보통 사내 포털·공식 CDN만 사용한다.
• 이미지에 텍스트가 많고, 실제 메일 본문은 거의 비어 있는 경우
  - 탐지를 피하기 위해 내용 대부분을 이미지로 넣는 방식 - 이미지 안에 “링크를 클릭하라”는 메시지가 있다면 우선 의심해야 한다.

8-3. PDF/IMG 피싱 공통 대응 전략

• “급여/세금/보안” 관련 PDF·이미지는 항상 사내 포털에서 직접 재확인한다.
• 메일에 첨부된 PDF/이미지는 업무용 PC가 아닌 별도 검증 환경(샌드박스·보안 VM)이 있는 경우 그쪽에서 우선 확인한다.
• 이미지나 PDF에서 클릭을 유도하는 문구가 있다면 “실제 URL”을 먼저 확인한다.
• 조금이라도 의심된다면 보안팀에 전달한 뒤 열람하는 것을 원칙으로 삼는다.

결론적으로, PDF와 이미지 자체는 문서·시각자료일 뿐이지만, 공격자는 이를 “클릭을 유도하는 미끼”와 “악성 링크를 숨기는 그릇”으로 사용한다. 따라서 사용자는 “파일 형식”이 아니라 “어디로 연결되는지”를 항상 확인해야 한다.