유니코드로 숨긴 공격 규칙…퍼미소, 이메일 보안 무기 '인박스퍼스케이션' 공개

신종 이메일 보안 위협에 대응하기 위한 새로운 오픈소스 도구가 공개됐다. 아이덴티티 위협 탐지 전문 기업 퍼미소 시큐리티(Permiso Security)는 마이크로소프트 엑스체인지(Microsoft Exchange)의 인박스 규칙 기능을 악용하는 은밀한 공격을 감지할 수 있도록 설계된 툴을 새롭게 선보였다.

이 도구는 퍼미소 측이 ‘인박스퍼스케이션(Inboxfuscation)’이라고 명명한 새로운 유형의 위협을 중심으로 설계됐다. 이는 유니코드(Unicode)를 활용한 숨김 기법으로, 시각적으로 정상이지만 사실상 악의적인 규칙을 생성해 일반적인 보안 시스템의 탐지를 피해간다는 점에서 특징적이다. 예를 들어 기존에는 ‘password’나 ‘admin’ 등 명백한 키워드를 감지해내는 방식이 주류였지만, 유사한 유니코드 기호나 제어 문자를 삽입한 경우 이러한 탐지 방식이 무용지물이 된다.

구체적인 기술에는 수학 기호 대체, 제로폭 문자(zero-width character), 양방향 텍스트 제어문자, 윤곽 기호 문자 사용 등이 포함된다. 이들을 활용하면 해커는 보안 시스템의 눈을 피해 실행되는 사실상의 정상 규칙처럼 보이는 공격을 설계할 수 있게 된다.

퍼미소는 아직까지 이 기술이 실전 공격에서 활용된 정황은 발견되지 않았지만, 충분히 실행 가능한 방식이라는 점에서 보안업계가 미처 대응하지 못한 블라인드 스폿이 될 수 있다고 경고했다. 예컨대 장기 침투를 목표로 한 지능형 지속 위협(APT)이나 인사 정보 탈취, 보안 경고 삭제 등의 내부분열형 공격에 활용될 가능성을 제시했다.

이에 대응해 퍼미소는 유니코드 카테고리 분석과 다양한 로그 형식 지원, 행위 기반 감지 기능을 갖춘 탐지 도구를 개발했다. 이 도구는 기존 보안 정보 및 이벤트 관리(SIEM) 시스템과 연동되며, 위험 점수와 메일박스 세부 정보, 의심 규칙 식별을 포함한 분석 결과를 제공한다. 소스 코드는 깃허브(GitHub)를 통해 공개되었으며, 퍼미소는 각 조직의 보안팀이 이를 활용해 유니코드 기반 공격 탐지 역량을 점검하고 사전 위협 헌팅 활동을 진행할 것을 권장하고 있다.

퍼미소는 자사 블로그를 통해 “이번 기술은 현재의 이메일 보안 아키텍처가 놓치고 있는 잠재적 위협을 드러낸다”며 “비록 지금 당장은 발견되지 않았더라도, 기술적 실현 가능성과 탐지의 어려움은 향후 현실화될 위험 요소로 간주해야 한다”고 밝혔다. 이어 “유니코드 난독화 기법에 대한 이해와 사전 대응 체계를 강화함으로써, 기업은 앞으로 이런 신종 위협에 악용될 가능성이 높은 기법에 보다 강력히 대비할 수 있을 것”이라고 덧붙였다.