가장 위험한 이메일 공격은 처음엔 악성처럼 보이지 않습니다
가장 탐지하기 어려운 이메일 위협은 언뜻 보기에 악성으로 보이지 않습니다.
이들은 신뢰할 수 있는 발신자로부터 오고, 실제 업무 대화 속에 존재하며, 요청 내용도 정당해 보입니다. 즉시 위험 신호를 보내는 요소가 전혀 없으며, 바로 그렇기 때문에 공격이 성공합니다.
하지만 이런 이메일을 면밀히 조사하면 대부분 답은 그 안에 있습니다. 공격자의 의도를 밝혀낼 수 있고, 공격의 본질도 이해할 수 있습니다. 문제는 이를 제대로 수행하려면 시간과 경험, 그리고 다양한 맥락(Context)에 대한 접근 권한이 필요하다는 것입니다. 모든 보안팀이 이러한 역량을 충분히 갖추고 있는 것은 아닙니다.
보안팀은 수년 동안 이메일 보안 스택에 수많은 도구를 추가해 왔지만, 가장 치명적인 공격들은 여전히 사용자 받은편지함에 도달합니다.
그 이유는 기존 시스템의 설계 방식에 있습니다.
전통적인 보안 도구는 알려진 지표(Indicators), 이상 징후(Anomalies), 대규모로 매칭 가능한 신호(Signals)를 탐지하도록 설계되었습니다. 그러나 현대의 공격은 패턴이 아니라 맥락(Context) 을 기반으로 만들어집니다.
이 차이가 지금도 공격자들에게 악용되는 보안 공백(Gap)을 만들어냅니다. 특히 다음과 같은 공격에서 두드러집니다.
- 공급업체 / 계정 탈취(Vendor Compromise)
- 표적형 피싱(Targeted Phishing)
- AI 기반 사회공학 공격(AI-generated Social Engineering)
AI는 이러한 공격을 더 쉽게 만들고, 더 개인화하며, 훨씬 대규모로 확산시킬 수 있게 만들었습니다. 결과적으로 기존 탐지 시스템이 의존하는 신호들은 점점 줄어들고 있습니다.
이를 해결하기 위해 WhiteMail은 WhiteHat 를 개발했습니다. WhiteHat는 이메일 위협을 맥락 속에서 조사하고 이해하도록 설계된 중앙 자율 지능 엔진(Central Autonomous Intelligence Engine) 입니다.
현재 이메일 조사는 실제로 어떻게 이루어지는가
의심스러운 이메일이 SOC 분석가에게 도달하면 조사 과정은 대체로 비슷합니다.
먼저 이메일 자체를 분석합니다.
- 이메일 헤더
- 본문 내용
- 첨부파일
- 포함된 링크
그다음에는 맥락 분석 단계로 넘어갑니다.
- 과거 커뮤니케이션 기록 확인
- 발신자의 행동 패턴 분석
- 의도의 미묘한 변화 탐지
이후 인프라와 위협 인텔리전스(Threat Intelligence)를 활용하여 이메일 뒤에 있는 시스템이 침해되었거나 악용되고 있는지 확인합니다.
이 모든 과정을 거친 뒤에야 분석가는 판단을 내리고, 대응하고, 결과를 문서화합니다.
이 방식은 효과적이지만 수작업 중심이고, 시간 소모가 크며, 대량의 이메일에 일관되게 적용하기 어렵습니다. 결과적으로 대부분의 이메일은 이 정도 수준의 심층 조사를 받지 못합니다.
WhiteHat는 이메일 공격을 어떻게 실시간으로 이해하는가
WhiteHat는 이러한 수준의 조사를 모든 이메일에 대해 지속적으로 수행합니다.
공급업체 계정 탈취 공격을 예로 들어 보겠습니다. 신뢰받는 공급업체가 정상으로 보이는 요청을 보내지만, 맥락상 무언가가 달라져 있습니다. 기존에는 분석가가 과거 대화 기록을 모두 검토해 해당 요청이 정상적인 행동인지 확인해야 했습니다.
WhiteMail에서는 네 개의 전문 에이전트가 이 작업을 자동으로 수행합니다.
- SA-01 · 신원(Identity) — 도메인의 일반적인 발신자를 학습하고, 표시이름·Reply-To·Return-Path 불일치를 탐지합니다.
- SA-02 · 인프라(Infrastructure) — SPF / DKIM / DMARC, 신생 도메인, 유사 도메인, 악용 TLD를 검사합니다.
- SA-03 · 링크 & 비주얼(Links & Visual) — 표시 URL과 실제 URL의 불일치, 단축 URL, 리다이렉트, IP URL, QR 코드 미끼를 탐지합니다.
- SA-04 · 의도(Intent) — 긴급 송금, 계좌 정보 변경, 자격증명 탈취, 압박 전술 등 악의적 의도를 읽어냅니다.
WhiteHat는 이들을 오케스트레이션하여 결과를 통합하고, 위험 점수와 왜 그런지 설명하는 이중언어 내러티브와 함께 하나의 일관된 판정(허용 / 표시 / 차단)을 도출합니다.
피싱 신고 이메일 처리
보안팀은 사용자에게 의심스러운 이메일을 신고하도록 교육합니다. 그 부작용으로 실제 위협이 아닌 이메일도 대량으로 접수됩니다.
WhiteHat는 신고된 모든 이메일을 맥락 속에서 분석하여 실제 위협인지 정상 업무 이메일인지 판단하고, 신고자에게 맞춤형 피드백을 제공하여 매 신고를 보안 교육 기회로 전환합니다. SOC 팀의 부담은 늘지 않으면서 사용자 판단력은 향상됩니다.
알려지지 않은 새로운 공격
기존 탐지 규칙에 맞지 않는 공격은 보통 사람이 조사한 뒤 새 규칙을 만들어야 발견됩니다.
WhiteHat는 행동과 맥락을 실시간으로 분석하므로 이전 사례가 없어도 공격을 탐지할 수 있고, 사후에 규칙을 만드는 작업에 대한 의존도를 줄여줍니다.
AI 네이티브(Agentic) 조사 방식
WhiteMail은 AI 중심(AI-Native)의 에이전트 시스템으로 설계되었습니다. 여러 전문 에이전트가 협력하여 콘텐츠 분석, 커뮤니케이션 분석, 인프라 검증, 의도 분류를 수행하고, WhiteHat는 이 전체를 조율하는 중앙 지능 계층 역할을 합니다.
WhiteHat는 모든 기능을 직접 수행하려 하지 않습니다. 대신 전문 에이전트들을 오케스트레이션하여 조사 결과를 통합하고, 이메일에 대한 일관된 판단을 도출합니다.
보안팀에게 무엇이 달라지는가
- 더 많은 공격을 사전에 차단 — 수동 조사가 필요하기 전에 공격을 발견합니다.
- 전체 맥락 기반 판단 — 부분 신호가 아니라 전체 상황을 고려해 평가합니다.
- 알려지지 않은 공격도 탐지 — 누군가 규칙을 만들 때까지 기다릴 필요가 없습니다.
- 분석가의 효율 향상 — 의미 없는 경고 검증 시간을 줄이고 실제 위협에 집중합니다.
이메일 보안의 블랙박스 문제 해결
기존 보안 솔루션의 큰 문제 중 하나는 블랙박스(Black Box) 입니다. 많은 제품은 단순히 "악성입니다" 라는 결과만 제공할 뿐, 왜 그런 결론이 나왔는지는 보여주지 않습니다. 그래서 분석가는 결과를 검증하기 위해 직접 조사를 다시 수행해야 합니다.
업계는 Explainable AI(xAI)로 개선을 시도해 왔습니다. 점수 산정 이유나 주요 특징(feature) 정도는 보여줍니다. 하지만 실제 조사 과정 전체를 보여주지는 않습니다.
WhiteMail은 보다 완전한 접근을 제공합니다. 모든 판정에 대해 다음을 모두 확인할 수 있습니다.
- 이메일이 어떻게 분석되었는지 (각 에이전트의 점수와 발견한 신호)
- 어떤 맥락이 고려되었는지
- 어떤 과정을 거쳐 결론에 도달했는지 (이중언어 내러티브)
즉 "시스템을 믿으라" 가 아니라 "시스템이 어떻게 판단했는지 직접 확인하라" 는 방식입니다. 그 결과 신뢰도 향상, 오탐 감소, 조사 시간 단축, 대응 일관성 향상이 가능해집니다.
모든 이메일이 조사된다면
사실 이메일 공격을 탐지하는 능력 자체는 항상 존재했습니다. 충분한 시간과 맥락이 주어진다면 보안 전문가들은 대부분의 공격을 찾아낼 수 있었습니다. 진짜 한계는 그 수준의 조사를 모든 이메일에 적용할 수 없었다는 것입니다.
WhiteMail은 그 한계를 해결합니다. 이제 조사 대상은 일부 이메일이 아니라 모든 이메일 입니다. 이메일 보안은 지속적(Continuous) 이고 선제적(Proactive) 인 방식으로 동작하게 됩니다.
그리고 이런 환경을 한번 경험하면, 기존 이메일 보안 도구는 근본적으로 불완전하게 느껴지게 됩니다.
WhiteHat가 위협을 어떻게 조사하는지 직접 보고 싶다면 분석 콘솔에서 의심스러운 이메일을 붙여넣거나, 메일박스를 연결해 본인 받은편지함을 맥락 속에서 스캔해 보세요.