스피어피싱 첨부파일 방어 — 이메일이 여전히 진입 벡터 1위인 이유와 CDR 대응

Verizon 2024 DBIR은 모든 침해사고를 통틀어 이메일이 여전히 가장 빈번한 초기 진입 벡터 중 하나임을 해마다 확인한다^[1]. Mandiant M-Trends 2024는 확인된 침해의 상당 비중이 phishing 카테고리로 시작됨을 보고했고^[2], IBM X-Force Threat Intelligence Index 2024는 피싱이 valid account 탈취·취약점 악용과 함께 초기 접근 상위 3대 기법임을 명시했다^[3]. Microsoft Digital Defense Report 2024 또한 이메일 기반 사회공학이 identity attack의 주요 진입 채널임을 재확인했다^[4]. 방어 기술 30년의 진보에도 이메일이 1번 진입 벡터인 이유는 단순하다 — "수신자가 스스로 클릭을 눌러 공격을 허용"하기 때문이다. 이 글은 2024-2026년 공개 자료로 스피어피싱의 현재 구조를 해부하고, SEG의 탐지 기반 한계와 CDR의 구조적 보완 원리, 이메일 파이프라인 설계 원칙을 1차 출처로 정리한다.

T1566

MITRE ATT&CK
Phishing 최상위 기법^[5]

BEC

FBI IC3 최대 손실 카테고리
2023 연간 보고서^[6]

DMARC

p=reject 필수 정책
NIST SP 800-177^[7]

100%

SLCDR KISA 탐지율
구조 기반 방어^[8]

1 왜 2024년에도 이메일이 진입 벡터 1위인가

클라우드 전환, 제로트러스트, MFA 확산에도 이메일이 초기 접근 최상위 기법으로 남은 이유는 구조적이다. 세 가지 구조적 요인이 결합한다.

사용자 결정 레이어 — 이메일은 수신자가 직접 열어야 한다. 기술 통제가 아무리 촘촘해도 마지막 클릭 결정권은 사용자에게 있다.
업무 프로세스 내재성 — 기안·계약·제안·청구서·이력서·논문·인터뷰 의뢰 등 업무의 본질이 이메일 첨부파일을 주고받는 것이다. 차단 자체가 업무 중단이다.
신뢰 체인 취약성 — SPF/DKIM/DMARC가 강제되지 않은 도메인이 여전히 다수이며, 파트너사 계정 탈취로 "정상 스레드에 악성 삽입"이 성립한다.

Verizon DBIR 2024는 "The human element continues to be a key driver in breaches"라고 규정한다^[1]. 침해사고의 인간 요소 비중은 해마다 일정하게 높게 유지된다. 기술만으로 해결되지 않는 층위다. Proofpoint State of the Phish 2024도 "대부분의 조직이 분기마다 피싱 시도를 경험한다"고 보고했다^[9].

⚠️ 이메일의 구조적 비대칭

이메일은 발신은 쉽고 검증은 어려운 비대칭 프로토콜이다. SMTP는 1982년(RFC 821) 설계 이래 발신자 검증을 부차적으로 취급했다. SPF(2006)·DKIM(2011)·DMARC(2015)가 위에 덧붙여졌지만 도메인 소유자가 강제 정책을 설정해야만 작동한다. NIST SP 800-177 Rev.1은 이를 "Trustworthy Email"로 재정의하고 DMARC p=reject를 사실상의 요구사항으로 제시했다^[7].

2 Phishing · Spear-phishing · BEC — 세 범주의 분류

실무에서 자주 혼용되지만 공격 구조·피해·방어 포인트가 다르다. 세 범주를 정리한다.

범주	타깃	목표	대표 벡터
Phishing (대량)	무차별 수신자	자격증명 탈취 · 범용 멀웨어	가짜 로그인 페이지 · 매크로 첨부
Spear-phishing	특정 개인·조직	APT 초기 접근 · 스파이 활동	업무 맥락 위장 첨부 · 정교한 본문
BEC	재무·경영진·거래처	금전 직접 탈취 · 송금 유도	임원 사칭 · 거래처 스레드 탈취 (무첨부 다수)
Whaling	C-level 단일 표적	기밀 · 대형 결제 승인	Spear-phishing 변종
Quishing (QR)	모바일 사용자	데스크톱 통제 우회	이메일 본문 QR 코드
Vishing / Smishing	전화 · SMS	MFA 우회 · 자격증명	음성 통화 · 문자 링크

이 글의 주제는 Spear-phishing Attachment(MITRE T1566.001)이지만 BEC(MITRE T1566.003/T1534)와 Quishing을 함께 다룬다. 2024-2026년 관찰되는 경향은 "세 범주가 결합된 하이브리드 캠페인"이기 때문이다. APT43/Kimsuky의 외신 인터뷰 사칭은 Spear-phishing이지만 본문에 QR을 삽입하는 Quishing 요소를 결합한 사례가 2026년 FBI IC3 경고에 반영됐다^[10].

3 Verizon DBIR · Mandiant · IBM · CrowdStrike 핵심 데이터

업계 6대 연간 보고서의 초기 접근 벡터 관련 서술을 1차 출처로 정리한다. 숫자는 보고서마다 표본·방법이 달라 직접 비교는 조심해야 하지만, "이메일/phishing이 상위 범주"라는 결론은 공통이다.

보고서	발행	초기 접근 관련 핵심 서술
Verizon DBIR 2024	2024.5	Phishing · credential abuse · vulnerability exploit이 초기 접근 3대 축. Human element는 침해의 일관된 핵심 동인^[1]
Mandiant M-Trends 2024	2024.4	exploit 비중이 높아졌지만 phishing은 여전히 상위. Initial access 카테고리별 비율 공개^[2]
IBM X-Force 2024	2024.2	Valid account · phishing · public-facing exploit이 상위 3. identity 기반 공격 증가 추세^[3]
CrowdStrike GTR 2024	2024.2	Interactive intrusion의 hands-on-keyboard 시간이 단축. 초기 접근 후 빠른 측면이동^[11]
Proofpoint SOTP 2024	2024.3	대부분 조직이 분기마다 피싱 시도 경험. TOAD(전화 유도) · QR 피싱 증가^[9]
Microsoft DDR 2024	2024.10	Identity 공격 폭증 · 이메일 사회공학 vector 지속^[4]
APWG Phishing Report	분기별	전 세계 피싱 URL · 브랜드 사칭 추이 추적^[12]
Google TAG	캠페인별	APT28·APT29·APT37 등 국가 기반 캠페인 공개 추적^[13]

공통 관찰 — "수치는 달라도 이메일/phishing이 최상위 범주"다. 보고서별로 조사 방법(incident response 기반·고객 텔레메트리·설문 등)이 달라 %값 자체를 단순 합산하면 왜곡이 생긴다. 하지만 방향성은 일관된다.

4 주요 APT 스피어피싱 캠페인 비교

국가 연계 APT 그룹의 실제 이메일 캠페인 6건을 1차 공개 자료 기반으로 비교한다.

그룹	귀속	타깃	대표 캠페인 · 벡터
APT29 (Cozy Bear)	러시아 SVR	서방 정부·싱크탱크·외교	ISO/LNK 첨부 · Brute Ratel · Google TAG/Mandiant 추적^[13]
APT28 (Fancy Bear)	러시아 GRU	정부·언론·NGO	HTML Smuggling · 자격증명 탈취 페이지
APT37 (ScarCruft)	북한	탈북자·언론·연구자	HWP + OLE · RokRAT · Operation Artemis (2025.12)^[14]
APT43 (Kimsuky)	북한 RGB	외교·안보·학계	외신 인터뷰 사칭 · ClickFix · QR 피싱 · FBI 2026.1 경고^[10]
FIN7	금전 동기	소매·금융·접객업	배송·영수증 사칭 · Carbanak·Griffon 로더
TA505	금전 동기	광범위 기업	HTML·XLSM · Cl0p 랜섬웨어 연계

APT29 Cozy Bear — ISO/LNK 전환

Microsoft의 매크로 기본 차단(2022.7) 이후 APT29는 ISO 컨테이너 + 내부 LNK로 빠르게 전환한 대표 사례다. ISO는 Windows에서 더블클릭으로 자동 마운트되고, 내부의 LNK는 숨겨진 스크립트를 실행한다. Mark-of-the-Web(MOTW)이 ISO 내부 파일에 전파되지 않던 취약점을 악용했다. Microsoft는 MOTW 전파를 2022년 말 Windows 업데이트로 강화했으나, 공격자는 다시 Nullsoft Installer, ZIP+LNK 등으로 이동했다.

APT43 Kimsuky — 외신 인터뷰 사칭 지속

Genians와 ASEC이 지속 추적하는 Kimsuky의 대표 미끼는 "외신 기자 인터뷰 요청"이다^[15]. 한국 외교·안보·북한 연구자에게 BBC·Reuters·WSJ 등을 사칭한 메일이 수년간 반복된다. 2026년 1월 FBI IC3는 Kimsuky가 "악성 QR 코드 스피어피싱으로 미·한 싱크탱크 공격"이라는 공식 경고를 발령했다^[10]. 한국 타깃 캠페인이 미국 연방 차원의 공식 경고로 격상된 기록이다.

APT37 ScarCruft — Operation Artemis

2025년 12월 Genians가 공개한 Operation Artemis는 HWP 문서 내부 OLE + DLL 사이드로딩 결합 사례다^[14]. 방송 작가 사칭 메일이 진입점이며, HWP 문서의 하이퍼링크 클릭이 공격 체인의 시작이다. 이 캠페인은 a11 글에서 상세 해부했다.

FIN7 · TA505 — 금전 동기의 대량화

국가 연계가 아닌 금전 동기 그룹도 이메일 스피어피싱을 핵심 벡터로 유지한다. FIN7은 배송·영수증·HR 위장을, TA505는 HTML Smuggling과 XLSM을 주요 벡터로 삼는다. 특히 TA505 계열이 연관된 Cl0p 랜섬웨어는 MOVEit·GoAnywhere 같은 익스플로잇으로도 진입하지만, 이메일 경로도 여전히 활용한다.

5 첨부 유형의 진화 — 매크로에서 QR까지

2020-2026년 스피어피싱 첨부 유형은 Microsoft의 방어 정책 강화에 반응해 빠르게 진화했다. 타임라인으로 본다.

시기	주요 첨부 유형	촉발 요인
~2022.6	DOCM · XLSM 매크로	기본 활성화 시절
2022.7~	ISO · IMG 컨테이너 + LNK	Microsoft 인터넷 매크로 기본 차단
2022.12~	OneNote (.one)	ISO MOTW 전파 강화
2023.2~	OneNote 차단 정책 강화	Microsoft OneNote 보안 업데이트
2023~	HTML Smuggling · SVG	게이트웨이 정적 검사 우회
2023~	PDF + 악성 URL · PDF JS	시각적 신뢰 악용
2024~	ClickFix · FakeCAPTCHA	사용자가 직접 PowerShell 붙여넣기
2024~	QR 코드 (Quishing)	데스크톱 통제 우회 · 모바일 유도
2025~	JSE · XLL · MSC · LNK	EDR 검사 공백 이용
2026~	AI 생성 맞춤 본문 + 딥페이크 ID	LLM 기반 사회공학 자동화

핵심 관찰 — "방어가 하나의 벡터를 닫으면 공격자는 다른 벡터로 이동"한다. 매크로 차단이 ISO/LNK를 낳았고, ISO MOTW 강화가 OneNote를 낳았고, OneNote 차단이 HTML Smuggling을 확산시켰다. 벡터별 탐지 규칙 추가는 필요하지만 이것만으로는 구조적으로 뒤처진다. CDR의 "실행 가능 콘텐츠 유형 일괄 제거" 원리는 이 경쟁에서 벗어난 접근이다.

💡 HTML Smuggling의 원리

HTML Smuggling은 이메일 게이트웨이가 HTML 파일을 통상 안전한 텍스트로 취급한다는 점을 악용한다. 첨부된 HTML 안의 JavaScript가 Blob API로 브라우저 안에서 바이너리를 재조립해 로컬 다운로드로 저장한다. 이메일 게이트·웹 프록시·AV의 정적 시그니처 다수를 구조적으로 우회한다. CDR은 HTML 내부의 스크립트 태그를 sanitize하거나 HTML 자체를 정적 렌더링된 PDF·이미지로 변환해 위험을 제거한다.

6 ClickFix · Quishing — 2024-2025 신흥 기법

ClickFix — 사용자가 스스로 PowerShell을 붙여넣다

2024년부터 폭발적으로 증가한 기법이다. 공격자가 "CAPTCHA 문제 해결", "Word 업데이트", "확인 코드 입력"과 같은 정당한 절차로 위장한 팝업을 표시하고, 사용자가 Win+R 실행창에 미리 클립보드에 복사된 PowerShell 명령을 붙여넣도록 유도한다. 첨부파일이나 다운로드 없이 사용자 본인이 직접 실행하게 만드는 점이 특징이다.

ASEC 2025년 7월 보고(89771)는 Kimsuky가 다단계 스피어피싱 체인에 ClickFix를 결합한 사례를 확인했다^[15]. Proofpoint·Sekoia 등 다수 벤더의 2024-2025년 리포트에서도 주요 이니셜 액세스 기법으로 분류된다^[9].

Quishing — QR 코드가 Spam Filter를 통과한다

QR 코드는 이메일 본문에 이미지로 삽입되면 대부분의 SEG가 URL로 파싱하지 않는다. 수신자는 QR을 모바일 카메라로 촬영해 접속하는 순간, 데스크톱의 기업 프록시·DNS 필터·엔드포인트 보안의 통제를 모두 벗어난다. FBI IC3의 2026년 1월 Kimsuky 경고가 정확히 이 기법을 언급했다^[10].

대응 원리 — 이메일 내부 이미지에서 QR을 디코드해 URL로 추출하고 URL 평판 필터에 통과시키는 전처리. SLE의 이미지 처리 파이프라인에 QR 디코더를 통합하면 이 공백을 메울 수 있다.

7 사회공학 심리 기법 — Cialdini 6원칙의 악용

스피어피싱은 기술이 아니라 사회공학이다. 로버트 치알디니의 설득 6원칙이 공격 본문에 그대로 반영된다.

원칙	공격 본문 예시	방어 포인트
Authority (권위)	"CEO입니다. 오늘 오후 3시까지 송금 확인 바랍니다."	음성·대면 2차 확인
Urgency (긴급성)	"24시간 내 응답 없을 경우 계약 파기"	정책상 즉시 응답 금지
Scarcity (희소성)	"선착순 참가자 한정 초대"	인위적 압박 인지
Familiarity (친숙함)	파트너사 이름으로 "저번 건 관련하여"	스레드 출처 검증
Social Proof (사회적 증거)	"동료 OOO님도 참여하셨습니다"	내부 확인 프로세스
Reciprocity (상호성)	"자료 먼저 공유드립니다. 검토 부탁"	첨부 자동 처리 정책

Proofpoint SOTP 2024는 "TOAD(Telephone-Oriented Attack Delivery)" — 이메일에서 사용자를 통화로 유도하는 기법 — 의 증가를 특히 주목했다^[9]. 전화 통화에서 공격자는 Authority + Urgency를 직접 구사해 MFA 토큰·계좌 정보를 탈취한다. 기술 통제가 약화되는 지점이다.

8 한국 공공·금융 피해 사례와 KISA 통계

KISA의 연간 침해사고 보고 데이터는 국내 위협 지형을 압축해 보여준다. 공개된 KISA 정보보호 현황 · 사이버 위기경보 자료에 따르면 이메일 경유 침해가 국내 사고의 상당 비중을 차지한다^[16]. 공공·금융권에서 관찰된 사례 패턴을 유형화한다.

공공기관 논문·정책자료 사칭 — 연구자·교수·정책실무자 대상. HWP·HWPX 첨부. Kimsuky·APT37 귀속.
국세청·관세청 세무 사칭 — 전자세금계산서·소명자료 요청 위장. 일반 사용자 대상 랜섬웨어 대량 배포.
금융권 거래처 사칭 BEC — 수출입 거래 대금 계좌 변경 요청. 국내외 무역업 중소기업 피해가 FBI IC3 데이터에도 다수 보고^[6].
채용·이력서 위장 — HR 담당자 대상. XLSM·LNK·ZIP. FIN7 계열 관찰.
공급망 경유 — 실제 파트너사 계정 탈취 후 기존 스레드에 악성 삽입. 탐지가 가장 어려운 유형.

한국 특화 벡터는 HWP/HWPX다. 38 North의 2025년 10월 보고서는 이를 "한국 부처·계약자·한미 공동 프로그램에 엮인 공격 표면"으로 규정했다. HWP 제로데이 연표는 a11에서 별도 해부했다.

9 FBI IC3 BEC 통계 — 금전 피해의 현실

FBI Internet Crime Complaint Center(IC3)의 Internet Crime Report 2023은 BEC를 최대 개별 손실 금액 범주 중 하나로 지속 보고한다^[6]. 같은 보고서는 "BEC는 사회공학 중심이며 스피어피싱의 변형으로 성립"임을 반복해 확인한다.

주요 BEC 하위 유형: CEO 사칭 · 공급업체 송장 사기 · 급여 전환 사기 · 변호사 사칭 · 데이터 탈취
수법: 정상 도메인과 시각적으로 구별이 어려운 look-alike 도메인(예: c0mpany.com) · 실제 계정 탈취 · 파트너사 이메일 침해
첨부 유무: BEC 다수는 첨부 없이 본문만으로 성립 — 기술 검사만으로는 원리적으로 차단 불가

대응 — DMARC p=reject로 발신 도메인 사칭 차단, 거래처 계좌 변경 2단계 검증 프로세스, 임원 송금 결재 오프채널 검증(전화·대면)이 원칙이다. 기술로 막을 수 없는 영역은 프로세스로 막는다.

10 DMARC · SPF · DKIM — 발신 검증 3대 표준

이메일 신뢰 체인은 세 표준의 조합으로 성립한다. NIST SP 800-177 Rev.1 Trustworthy Email이 정의하는 요구사항을 요약한다^[7].

표준	RFC	역할	한계
SPF	RFC 7208	도메인 발송 허용 IP 목록(DNS TXT)	Return-Path 기준 · From 헤더 사칭 방어 불가
DKIM	RFC 6376	메시지 본문·헤더 서명 검증	서명 키 관리 · 일부 중계 구간 서명 손실
DMARC	RFC 7489	SPF/DKIM 결과 기반 정책 강제(p=none/quarantine/reject)	도메인 소유자가 p=reject로 설정해야 효과
BIMI	Draft	DMARC 통과 시 발신 로고 표시	DMARC 선행 · 아직 채택 초기
MTA-STS	RFC 8461	TLS 강제 전송	파트너 도메인도 지원해야 효과

💡 DMARC 정책 3단계

p=none (모니터링 전용) → p=quarantine (스팸함으로 이동) → p=reject (완전 거부). 조직은 점진 상향 로드맵을 권장받는다. 미국 연방기관은 CISA BOD 18-01로 p=reject 의무화가 적용된 상태다. 한국 공공·금융은 아직 자율 영역이지만, 공급망을 통한 사칭 차단을 위해 조속한 상향이 필요하다.

중요 — "자사 DMARC가 강해도, 파트너사 DMARC가 약하면 파트너 도메인이 사칭될 수 있다". 공급망 전체의 발신 검증 수준이 조직 보안의 실질 수준을 결정한다.

11 SEG의 구조적 한계와 CDR 보완

전통적 Secure Email Gateway(SEG)는 탐지 기반이다. 시그니처 매칭·평판 조회·URL 리라이트·샌드박스 인라인 폭발 등이 핵심 기법이다. 이것이 처리하는 공격은 잘 처리하지만, 구조적 공백이 있다.

SEG 기법	강점	공백
시그니처 AV	알려진 해시·패턴 즉시 차단	변종·제로데이 0% · 난독화 우회
URL 리라이트	클릭 시점 평판 재확인	지연 활성화 URL · QR 코드 우회
인라인 샌드박스	실제 행위 관찰	환경 인식·슬리피 페이로드 우회 · 인라인 지연
평판 기반	대량 피싱 도메인 차단	탈취된 정상 도메인 우회
정적 헤더 검사	SPF/DKIM/DMARC 검증	파트너 도메인 사칭 · 계정 탈취 무효

SEG가 탐지 실패하면 악성 콘텐츠는 그대로 사용자에게 도달한다. CDR은 다른 전제로 동작한다 — "악성 여부 판정 없이 실행 가능 콘텐츠를 구조적으로 제거"한다. 매크로·OLE·LNK·JSE·XLL·MSC·JavaScript·외부 참조·임베디드 객체를 일괄 제거하고 원본 포맷으로 재조립한다. 제로데이든 난독화든 AI 생성이든 원리적으로 동일하게 작동한다.

✅ CDR이 제거하는 이메일 위험 요소
Office 매크로 · DDE — DOCM · XLSM · 링크된 외부 데이터
OLE 객체 · 임베디드 실행파일 — HWP · Office · PDF 내부
LNK · JSE · WSF · HTA · MSC — Windows Script Host 실행 대상
HTML JavaScript · SVG 스크립트 — Smuggling 차단
PDF JavaScript · 외부 리소스 참조
아카이브 중첩 해제 후 전수 처리 — ZIP · RAR · ALZ · ISO
하이퍼링크 sanitize — 외부 페이로드 다운로드 트리거 제거

12 CDR 이메일 파이프라인 설계

SLE(SecuLetter Email)와 DISARM을 결합한 이메일 파이프라인의 표준 구성을 단계로 정리한다.

STAGE 01 · MTA 수신

SPF · DKIM · DMARC 검증

RFC 7489 DMARC p=reject 정책 강제. 사칭 도메인 즉시 차단. 통과 메일만 다음 단계로.

발신 검증

STAGE 02 · 평판·스팸 1차

SEG 기본 필터

URL·도메인·IP 평판. 대량 피싱·스팸 1차 드롭. 경량 처리.

양적 필터

STAGE 03 · MARS 정적 분석

리버스엔지니어링 기반 분석

첨부파일 구조 해부 · 실행 콘텐츠 유형 식별 · 위협 인텔 축적 · ConTI 연계.

분석 레이어

STAGE 04 · CDR 무해화

SLE + DISARM

매크로·OLE·LNK·JSE·HTML 스크립트 일괄 제거 후 원본 포맷 재조립. QR 디코드·평판 전처리.

핵심 방어선

STAGE 05 · 사용자 인박스

안전 원본 전달

원본 가독성 보존 + 실행 요소 제거. 사용자는 차이 없이 업무 수행.

업무 연속성

STAGE 06 · 감사 로그

제거 내역 · 송신자 · 시점 기록

N2SF · ISO/IEC 27001 A.8 증적 요구사항 충족. 사후 분석·규제 대응.

거버넌스

이 파이프라인의 핵심 특징은 "판정 기반 단계(1·2)와 구조 기반 단계(4)의 이중 구성"이다. 판정이 실패해도 구조적 제거가 작동하므로, 전체 시스템이 fail-safe로 설계된다.

13 M365 · Google Workspace 통합 옵션

클라우드 이메일 전환율이 높아지며 M365(Exchange Online)·Google Workspace 환경 통합이 실무의 기본 요구사항이 됐다. 네 가지 통합 모델이 있다.

통합 모델	구조	장단점
MX Redirect	MX 레코드를 CDR 게이트로	완전한 인라인 · DNS 변경 필요
Journaling	사본을 CDR로 · 원본은 유지	분석 전용 · 무해화 적용 시점 지연
API 통합	M365 Graph · Workspace API	인박스 직접 처리 · API 권한·스로틀
SMTP Relay	발신 경로 중계	내부→외부 정책 적용

M365는 기본으로 Safe Attachments(Defender for Office 365)를 제공하지만, 이는 샌드박스 기반 탐지이며 CDR과는 접근 원리가 다르다. CDR을 앞단에 배치해 구조적 제거를 선행한 뒤 Safe Attachments가 잔여 위협을 탐지하는 계층 방어가 권장된다. Microsoft 자사 보고서도 "단일 레이어 의존 금지"를 반복해 명시한다^[4].

Google Workspace의 Advanced Protection도 유사한 관점에서 CDR과 결합된다. 2024년 공개된 Microsoft 365 Copilot 관련 EchoLeak 사례는 AI 도우미가 이메일 콘텐츠에 임베딩된 지시를 실행해 자료를 누출한 사례로, 첨부 처리 단계에서 prompt injection payload 자체를 sanitize하는 관점이 새로 제기되고 있다^[17].

14 첨부 유형별 위험·CDR 원칙 매트릭스

첨부 유형	대표 위험	CDR 처리 원칙
DOCM · XLSM	VBA 매크로 · DDE	매크로 코드 전면 제거 · DDE 필드 제거 후 원본 재조립
DOCX · XLSX · PPTX	외부 참조 · 임베디드 OLE	외부 참조 제거 · OLE 객체 제거
HWP · HWPX	OLE · 스크립트 · 하이퍼링크	OLE 제거 · XML 재파싱 · 하이퍼링크 sanitize
PDF	JavaScript · 외부 리소스 · 폼 액션	JS 제거 · 외부 URL 제거 · 폼 평문화
LNK	타깃 명령행 악성	전량 제거 또는 텍스트 메타로 변환
ISO · IMG	컨테이너 우회 · 내부 LNK	마운트 해제 후 내부 재귀 처리
ZIP · RAR · ALZ · 7z	중첩 아카이브 · 패스워드 보호	중첩 해제 · 패스워드 시도 · 내부 전수 CDR
HTML · SVG	Smuggling · 스크립트	스크립트 제거 · 정적 렌더링 변환
OneNote (.one)	임베디드 실행 · LNK	임베디드 객체 제거
JSE · WSF · HTA · MSC	Windows Script Host 실행	유형 자체가 제거 대상
XLL	Excel 네이티브 추가 기능	전량 제거
이미지 + QR	Quishing	QR 디코드 · URL 평판 전처리

원칙 — "파일 포맷의 규격 안에서 실행 가능한 모든 요소는 제거 대상"이다. 규격 자체는 보존해 가독성·호환성은 유지한다. 이것이 "판정 없는 안전"의 의미다.

15 자주 묻는 질문 (FAQ)

Q1. SEG가 있으면 CDR은 중복 아닌가요?

중복이 아니라 계층이다. SEG는 탐지 기반으로 알려진 악성을 차단한다. CDR은 구조 기반으로 실행 가능 콘텐츠를 제거한다. SEG가 탐지 실패해도 CDR이 구조적으로 차단한다. fail-safe 이중 구성. Microsoft DDR도 단일 레이어 의존 금지를 명시^[4].

Q2. CDR 적용 시 문서 가독성이 손실되지 않나요?

CDR 엔진 품질에 따라 다르다. SLE는 문서의 실행 요소만 제거하고 본문·레이아웃·표·이미지는 보존한다. KISA 인증 탐지율 100%는 이 균형의 기술적 근거^[8]. PoC에서 실제 조직 문서 샘플로 가독성 손실 기준을 측정하는 것이 권장.

Q3. BEC는 첨부가 없는데 CDR이 도움 되나요?

순수 본문 BEC에는 CDR 적용이 제한적이다. 이 경우 DMARC p=reject · look-alike 도메인 탐지 · 임원 송금 오프채널 검증 프로세스가 핵심. CDR은 BEC의 첨부 변형(위장 송장 PDF·계좌 변경 공문)에는 효과적이다. FBI IC3는 프로세스와 기술 이중 대응을 권고^[6].

Q4. ClickFix처럼 첨부 없는 공격은?

첨부 없는 ClickFix·Quishing은 CDR 직접 적용 대상이 아니다. 이메일 본문 이미지 QR 디코드 · URL 리라이트 · 사용자 경고 배너 · 엔드포인트 PowerShell 실행 정책 조합이 필요. 계층 방어의 다른 레이어가 작동하는 지점.

Q5. DMARC p=reject를 바로 적용하면 정상 메일이 반려되지 않나요?

가능성이 있어 단계적 상향이 표준이다. p=none(모니터링)으로 시작해 DMARC 리포트로 자사 도메인에서 발송되는 정상·비정상 경로를 3-6개월 식별한 뒤 quarantine을 거쳐 reject로 상향. 미국 CISA BOD 18-01은 이 로드맵을 법적 의무화한 사례^[7].

Q6. 샌드박스와 CDR의 차이는?

샌드박스는 실제 행위를 관찰해 판정한다. 환경 인식·슬리피 페이로드에 우회된다. 인라인 처리 시 지연이 생긴다. CDR은 행위 관찰 없이 구조적으로 제거한다. 판정 없이 안전. 둘은 배타적이지 않고 병행 운영이 권장.

Q7. M365 Safe Attachments만으로 충분하지 않나요?

Safe Attachments는 Microsoft 자체 샌드박스 기반이다. APT 환경 인식·새 포맷 우회·제로데이 공백이 존재. CDR을 앞단에 배치해 실행 요소를 구조적으로 먼저 제거한 뒤 Safe Attachments가 잔여를 탐지하는 계층 구성이 권장된다. Microsoft DDR도 단일 레이어 금지 명시^[4].

Q8. AI 생성 피싱 본문이 정교해졌다는데 CDR이 여전히 유효한가요?

그렇다. AI가 정교화하는 것은 사회공학 본문이지 첨부 실행 기법이 아니다. 최종 실행은 여전히 매크로·OLE·LNK·스크립트·HTML Smuggling 등의 유형으로 수행된다. CDR의 구조 기반 제거는 사회공학 정교화와 독립적으로 작동한다. 오히려 AI 시대에 사용자 판단 신뢰도가 낮아지므로 기술 사전 처리의 가치가 커진다.

✓ 결론 — 1번 벡터에 1번 방어선을 정렬하라

Verizon DBIR · Mandiant M-Trends · IBM X-Force · CrowdStrike GTR · Proofpoint SOTP · Microsoft DDR — 업계 6대 연간 보고서가 반복해 확인하는 결론은 단순하다. "이메일은 여전히 가장 빈번한 초기 접근 벡터"다^{[1][2][3][4][9][11]}. 방어의 원칙도 단순하다 — "1번 진입 벡터에 1번 방어선을 정렬". SEG의 탐지 기반 처리 위에 CDR의 구조 기반 제거를 계층화하면, 탐지가 실패해도 구조가 남는다. DMARC p=reject로 발신 검증을 강제하고, MARS로 위협 인텔을 축적하고, 사용자 교육을 최후 방어선으로 배치하면, 이 시스템은 제로데이·난독화·AI 생성 공격에도 원리적으로 작동한다.

이메일이 30년째 공격자의 1번 도구인 이유는 업무의 본질이기 때문이다. 이 본질을 포기할 수 없다면 방어는 본질에 맞춰 설계되어야 한다. CDR은 첨부파일을 차단하지 않고 무해화한다. 사용자는 동일하게 업무를 수행하고, 공격자의 실행 트리거는 사라진다. 이것이 판정하지 않는 방어의 가치다.

이메일 스피어피싱 대응 PoC/BMT

실제 최신 APT 샘플 기반 이메일 CDR 품질 테스트 · DMARC 배포 로드맵 진단 · M365/Workspace 통합 설계 · N2SF 감사 증적 자동화까지 지원.

이메일 보안 PoC 신청 → 공공 · 금융 · 제조 · 엔터프라이즈 맞춤

REFERENCES

Verizon, 2024 Data Breach Investigations Report (DBIR), 2024.5 — verizon.com/dbir.
Mandiant (Google Cloud), M-Trends 2024 Report, 2024.4 — mandiant.com/m-trends.
IBM Security X-Force, Threat Intelligence Index 2024, 2024.2 — ibm.com/reports/threat-intelligence.
Microsoft, Digital Defense Report 2024, 2024.10 — microsoft.com/digital-defense-report.
MITRE ATT&CK, T1566 Phishing · T1566.001 Spearphishing Attachment · T1566.002 Link · T1566.003 via Service — attack.mitre.org/techniques/T1566.
FBI Internet Crime Complaint Center (IC3), Internet Crime Report 2023 — ic3.gov.
NIST, SP 800-177 Rev.1 Trustworthy Email, 2019 — csrc.nist.gov. DMARC: RFC 7489 · SPF: RFC 7208 · DKIM: RFC 6376. DMARC.org: dmarc.org.
SecuLetter Inc., Ensecure v2 · DISARM Solution Introduction KO, 2025.
Proofpoint, 2024 State of the Phish Report, 2024.3 — proofpoint.com/state-of-phish.
FBI Internet Crime Complaint Center, Kimsuky Malicious QR Code Spear-phishing Alert, 2026.1.8 — ic3.gov.
CrowdStrike, Global Threat Report 2024, 2024.2 — crowdstrike.com/global-threat-report.
Anti-Phishing Working Group (APWG), Phishing Activity Trends Report, quarterly — apwg.org.
Google Threat Analysis Group (TAG), APT29 Cozy Bear · APT28 · APT37 Campaigns — blog.google/threat-analysis-group.
Genians 시큐리티센터, Operation Artemis — APT37 HWP + OLE + DLL 사이드로딩, 2025.12 — genians.co.kr.
ASEC, 2025.7 APT 동향 — Kimsuky ClickFix 다단계 스피어피싱, 2025.7 — asec.ahnlab.com.
KISA 한국인터넷진흥원, 사이버 위기경보 · 침해사고 통계 — kisa.or.kr.
Aim Security, EchoLeak — M365 Copilot Data Exfiltration via Prompt Injection, 2024 — aim.security.
ISO/IEC, ISO/IEC 27001:2022 Annex A.8 Technology Controls — iso.org.
Microsoft, Safe Attachments in Microsoft Defender for Office 365 — learn.microsoft.com.
Google Workspace, Advanced Protection · Attachment Handling — workspace.google.com.
CISA, Binding Operational Directive 18-01 — Enhance Email and Web Security, 2017 — cisa.gov.
Cialdini, R. B., Influence: The Psychology of Persuasion, Harper Business, 2006.
SecuLetter, MARS Platform · File Security Technology — seculetter.com.

위협 인텔 실무 검토가 필요하신가요?

시큐레터 보안연구팀이 현재 환경을 함께 검토합니다. 기밀 유지 보장, 비용 없음.

PoC 신청