이메일은 여전히 사이버 공격의 주요 진입점으로, 공격자는 기술적 방어망을 우회하기 위한 새로운 전략을 지속적으로 개발하고 있다. 사이버보안 기업 바이프리(VIPRE) 보안 그룹은 2025년 3분기 이메일 위협 보고서를 통해 180만 건의 이메일을 분석한 결과, 공격자들이 일상적 스팸과 합법적 메시지를 교묘히 이용해 보안 체계를 무력화하고 있다고 밝혔다.

보고서에 따르면 상업성 스팸 메시지가 전체 이메일의 60%를 차지해 전년 대비 34% 증가했으며, 이 중 상당수가 악성 코드 유포나 피싱 시도의 은폐 수단으로 활용된 것으로 나타났다. 바이프리는 도메인 블랙리스트나 서명 기반 탐지만으로는 이러한 고도화된 전술을 탐지하기 어렵다고 경고했다.

상업 스팸과 기술적 우회 전술의 결합

바이프리의 분석에 따르면 상업 스팸은 피싱과 맬웨어 전파의 효과적인 은폐 도구로 진화하고 있다. 보고서는 상업성 메시지 중 72%가 콜드 아웃리치 마케팅 형태로 발송됐으며, 리스트 폭격(list bombing) 공격이 16%를 차지했다고 밝혔다. 이 방식은 공격자가 피해자의 이메일을 다수의 메일링 리스트에 강제 등록시켜 받은편지함을 무의미한 정보로 채우는 기법이다.

이로 인해 사용자는 경계심을 잃게 되고, 악성 이메일이 합법적인 메시지 속에 자연스럽게 섞여 전달된다. 바이프리는 이러한 현상을 “사용자 인지 피로를 유발하는 은폐형 스팸 전술”이라고 정의했다. 실제로 전체 스팸 이메일의 3분의 1 이상이 피싱, 사기, 맬웨어 등 명백한 악성 행위를 포함하고 있었다.

기술적 우회 방식 또한 한층 정교해지고 있다. 공격자들은 임시 피싱 사이트를 위해 신규 도메인을 대량 등록하고, 탐지되면 즉시 폐쇄하는 방식을 활용했다. 그러나 캠페인 80%는 손상된 URL이나 오픈 리다이렉트를 이용해 진행돼, 기존의 도메인 기반 차단만으로는 대응이 어렵다는 점이 드러났다.

특히 피싱 공격의 약 3분의 1은 자바스크립트 기반의 페치 API(Fetch API)를 사용해 도용된 자격 증명을 외부 서버로 전송했다. 반면 기존 POST 요청 방식은 10% 미만이었다. Fetch API의 비동기 네트워크 요청 특성은 전통적인 보안 모니터링 시스템을 우회하기 용이해, 새로운 탐지 기술의 필요성이 강조되고 있다.

합법 플랫폼 악용과 글로벌 분산 전략

바이프리 보고서는 애플(Apple)의 테스트플라이트(TestFlight) 플랫폼이 악용된 사례도 지적했다. 공격자들은 TestFlight의 베타 테스트 기능을 이용해 악성 iOS 앱을 초대 링크 또는 공개 링크 형태로 배포했으며, 이를 통해 Apple의 앱 심사 절차와 보안 검증 단계를 우회했다. 이러한 방식은 합법적 개발 프레임워크를 이용한 공격의 대표적인 사례로 꼽힌다.

또한 아웃룩과 구글 계정이 피싱 공격의 90% 이상을 차지하며, 공격자들이 주요 이메일 서비스 이용자를 집중적으로 노린다는 점도 보고서에서 확인됐다.

스팸 발송의 지리적 분포 역시 탐지 회피 전략으로 작용하고 있다. 미국에서 60% 이상의 스팸이 발송되었으며, 홍콩 9%, 영국 6%, 기타 선진국 25%로 나타났다. 이러한 지리적 분산은 IP 기반 차단의 실효성을 약화시키며, 공격자들이 국가별 네트워크 정책 차이를 이용해 필터링을 회피하는 결과를 낳고 있다.

또한 공격 이메일의 33%는 침해된 계정을 통해 발송되어, 공격자가 SPF/DKIM 인증을 통과한 신뢰 도메인을 이용한 것으로 분석됐다. 이 밖에도 센드그리드(SendGrid), 메일건(Mailgun), 아마존 SES(Amazon SES)와 같은 대량 메일링 서비스가 악용되어 높은 IP 평판을 기반으로 필터링을 회피하는 사례가 다수 발견됐다.

바이프리는 이러한 복합적 전술이 기존 이메일 방어 체계를 무력화시키고 있다고 강조했다. 보고서는 단일 방어 기술로는 탐지율을 유지하기 어렵다며, 도메인·URL·행위 분석을 결합한 다층형(email defense in depth) 접근법이 필요하다고 조언했다. 또한 Fetch API 및 TestFlight와 같은 신기술 채널에 대한 보안 검증 체계 강화가 필수적이라고 덧붙였다.

바이프리 보안 그룹 총괄 매니저 우스만 초우다리(Usman Choudhary)는 “오늘날의 사이버 보안 위협은 창의적이고 정교한 전략을 통해 성공하고 있습니다. 공격자들은 신뢰할 수 있는 플랫폼을 조작하고, 회피 전술을 다층적으로 중첩해 상업 스팸을 은폐 수단으로 이용하고 있습니다.”라고 말했다.

이번 보고서는 이메일 기반 위협이 단순한 피싱 수준을 넘어, 합법적 인프라와 글로벌 서비스, 그리고 최신 웹 기술까지 활용하는 복합 공격 양상으로 진화했음을 보여준다. 기업은 방어 체계의 신속한 적응성과 계층화된 탐지 구조를 확보해야 하며, 위협 인텔리전스 기반의 지속적인 모니터링이 필수라는 점을 다시 확인시켰다.