MITRE ATT&CK: T1566.002 (Spearphishing Link) | 전술: Initial Access | 플랫폼: Google Workspace, Linux, macOS, Office 365, SaaS, Windows
2021년 2월, CISA는 북한이 배포한 악성 암호화폐 거래 애플리케이션에 대한 경고를 발표했다. 이름은 AppleJeus. 공격자는 정상적인 암호화폐 거래소를 가장한 웹사이트 링크를 스피어피싱 이메일에 담아 발송했다. 피해자가 링크를 클릭하고 앱을 다운로드하는 순간, 시스템에 백도어가 설치됐다.
이메일 보안 게이트웨이가 이 이메일을 분석했다면? 첨부파일이 없으니 스캔할 대상 자체가 없다. URL은 텍스트일 뿐이다. 악성 페이로드는 피해자가 클릭한 그 순간, 외부 서버에서 전달된다.
이것이 T1566.001(첨부파일)과의 결정적 차이다. 첨부파일은 이메일에 증거가 남는다. 링크는 남지 않는다.
링크 기반 피싱의 핵심은 방어가 작동하는 시점과 공격이 실행되는 시점의 분리다.
첨부파일 vs 링크: 방어 시점의 차이
첨부파일은 이메일 수신 시점에 게이트웨이가 파일을 추출하고 샌드박스에서 실행해볼 수 있다. 링크 피싱에서는 이 방어 지점이 존재하지 않는다.
여기에 페이로드 가변성이 추가된다. 공격자는 같은 URL로 접속하는 사용자에게 시간대별, 지역별로 다른 파일을 전달한다. 보안 연구원이 URL을 분석할 때는 정상 페이지를, 실제 표적이 접속할 때만 악성 파일을 보여주는 것도 가능하다. 이런 조건부 전달 기법 때문에 URL 평판 DB만으로는 방어가 불완전하다.
셋째, 자격증명 탈취에 최적화되어 있다. AADInternals 같은 도구는 OAuth 동의 피싱 이메일에 악성 링크를 삽입해 사용자의 액세스 토큰을 탈취한다. 파일 실행 없이 브라우저 세션만으로 공격이 완료되므로, 엔드포인트 탐지도 우회한다.
AppleJeus가 암호화폐 업계의 소수 표적을 정밀 타격했다면, APT29(NOBELIUM)는 같은 기법을 대량 발송에 적용했다.
2021년 5월, APT29는 USAID(미국 국제개발처)를 사칭한 스피어피싱 이메일을 발송했다. 이메일에는 ZIP 파일로 연결되는 링크가 포함되어 있었다. 링크를 클릭하면 악성 ISO 파일이 다운로드되고, 그 안에 담긴 DLL이 Cobalt Strike 비콘을 로드했다.
주목할 점은 APT29가 Constant Contact라는 정상 이메일 마케팅 서비스를 악용해 약 3,000개 계정에 발송했다는 것이다. 정상 서비스에서 발송된 이메일이라 SPF/DKIM 검증을 통과했다.
| 비교 항목 | AppleJeus (북한) | APT29 (러시아) |
|---|---|---|
| 목적 | 암호화폐 탈취 | 정부 기관 정보 수집 |
| 링크 대상 | 가짜 거래소 앱 | ZIP → ISO → Cobalt Strike |
| 발송 규모 | 소수 정밀 타격 | 3,000개 계정 대량 발송 |
| 발송 경로 | 직접 발송 | 정상 마케팅 서비스 악용 |
| SPF/DKIM 우회 | 미확인 | 정상 서비스 경유로 통과 |
이메일 단계에서는 잡기 어렵다. 그러나 클릭 이후, 브라우저에서 셸 프로세스가 생성되는 순간은 피할 수 없다.
링크 피싱 탐지 가능 지점
MITRE의 공식 탐지 전략(DET0107)은 이메일 내 URL 클릭 → 브라우저에서 PowerShell이나 cmd.exe 같은 비정상 자식 프로세스 생성의 상관관계를 추적한다. 정상적인 웹 브라우징에서 chrome.exe가 PowerShell을 실행할 이유는 없다.
자격증명 탈취 경로(E→G)는 프로세스 기반 탐지로 잡히지 않는다. 이 경우 OAuth 동의 요청 로그, 비정상 세션 토큰 발급, 로그인 지역 이상 등 인증 로그 기반 탐지가 필요하다.
T1566.002는 SigmaHQ에 전용 룰이 없다. 브라우저 프로세스의 자식 프로세스 모니터링과 URL 샌드박싱을 결합하되, 조건부 페이로드 전달에 대비해 클릭 시점의 실시간 URL 분석이 필요하다.
| 기법 | 링크 |
|---|---|
| T1566 Phishing (상위 기법) | Kimsuky의 딥페이크 군무원증부터 Lazarus의 가짜 면접까지 |
| T1566.001 Spearphishing Attachment | Andariel의 Word 첨부파일: 한국 방산을 노린 침투 경로 |
| T1528 Steal Application Access Token | 토큰 탈취: OAuth 2.0 기반 인증의 5가지 취약점 |
| T1059.001 PowerShell | PowerShell 악성코드: 83개 APT가 난독화로 숨기는 기법 |
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.