공격자들이 Proofpoint 및 Intermedia 링크 래핑을 악용하여 피싱 페이로드를 전달하고 있습니다
위협 집중 분석 - 2025년 7월 30일
개요
2025년 6월부터 2025년 7월까지 Cloudflare Email Security 팀은 Proofpoint 및 Intermedia 링크 래핑을 이용하여 피싱 페이로드를 위장하고, 인간의 신뢰와 감지 지연을 악용하여 방어를 우회하는 일군의 사이버 범죄 위협 활동을 추적해 왔습니다.
링크 래핑은 Proofpoint 같은 업체들이 사용자를 보호하기 위해 설계한 기능으로, 클릭된 모든 URL을 스캔 서비스로 우회시켜 클릭 순간에 악의적인 것으로 알려진 목적지를 차단할 수 있도록 해줍니다. 예를 들어, http://malicioussite[.]com으로 연결되는 이메일 링크는 https://urldefense[.]proofpoint[.]com/v2/url?u=httpp-3A__malicioussite[.]com이 될 수 있습니다. 이 방법은 알려진 위협에 대해서는 효과적이지만, 클릭 시 스캐너가 래핑된 링크를 플래그하지 않으면 공격이 여전히 성공할 수 있습니다.
Cloudflare Email Security 팀이 최근 관찰한 캠페인에서는 공격자들이 어떻게 Proofpoint와 Intermedia의 링크 래핑 기능을 악용하여 Cloudflare Email Security의 감지를 피하고 피해자를 다양한 Microsoft Office 365 피싱 페이지로 리디렉션하는지 볼 수 있습니다. 이 기법은 피해자가 래핑되지 않은 피싱 URL보다 '신뢰할 수 있는' Proofpoint 또는 Intermedia URL을 클릭할 가능성이 훨씬 크기 때문에 특히 위험합니다.
캠페인 예시 - Proofpoint
Proofpoint 링크 래핑 악용은 Proofpoint로 보호된 이메일 계정(즉, 이미 Proofpoint URL 래핑을 활용 중인 계정)에 무단으로 접근하는 데 중점을 둡니다. 공격자는 이러한 계정을 사용하여 Proofpoint의 링크 래핑을 통해 악성 URL을 "세탁"하고, 피싱 캠페인에서 이렇게 새로 합법화된 링크를 배포합니다. 이때 Proofpoint가 보호하는 계정에서 직접 배포하거나 다른 손상된 계정 또는 공격자가 제어�하는 계정을 통해 배포하곤 합니다.
공격자들은 손상된 계정을 이용하여 URL 단축기를 통한 다단계 리디렉션 남용 등 다양한 방법으로 Proofpoint 링크 래핑을 악용했습니다. 이 특정 기법에서 공격자는 Bitly와 같은 공개 URL 단축기를 통해 악성 링크를 먼저 단축함으로써 난독화를 증가시킵니다. Proofpoint가 보호하는 계정을 통해 단축 링크를 전송하고 나면 Proofpoint가 링크를 래핑하여 리디렉션 체인을 생성합니다. 그러면 이 체인의 각 링크가 난독화 레이어를 추가하면서 URL 단축기 → Proofpoint 래핑 → 피싱 랜딩 페이지 과정을 거치게 됩니다.
아래는 이 기법을 활용한 피싱 메시지의 예입니다. 이 이메일은 음성 메일 알림으로 표시되며, 수신자에게 하이퍼링크된 버튼을 클릭하라고 요청합니다.
래핑된 링크가 포함하고 있으며, 음성 메일 알림으로 가장하는 피싱 이메일
“음성 메일 듣기” 버튼 뒤의 하이퍼링크는 단축 URL로 연결됩니다.
이 URL은 Proofpoint로 래핑된 링크로 연결되며, 이는 일련의 과정을 거치면서 자격 증명을 탈취하도록 설계된 Microsoft Office 365 피싱 페이지로 리디렉션됩니다.
자격 증명을 탈취하기 위해 설계된 Microsoft 피싱 페이지
이 기법을 활용하는 또 다른 일반적인 캠페인으로는 가짜 공유 Microsoft Teams 문서가 있습니다.
Microsoft Teams 문서로 위장한 피싱 이메일
여기에서도 역시 "Teams 문서 액세스" 버튼 뒤의 하이퍼링크는 단축 URL로 연결됩니다.
https://s7ku6[.]lu/lnk/AVoAAHBNPHAAAc6tFoQAA-YEUe0AAYKJ…
이 URL은 Proofpoint로 래핑된 링크로 연결되고,
https://urldefense[.]proofpoint[.]com/v2/url?u=http-3A_scra..
이로 인해 최종 피싱 랜딩 페이지로 일련의 리디렉션이 발생합니다.
https://scratchpaperjournal[.]com
이번 사례에서 래핑된 링크들은 비활성화되었고 페이로드 링크도 더 이상 접근할 ��수 없지만, 유사한 사례들과 Microsoft 사칭이 일관적으로 반복된다는 점에서 Cloudflare Email Security 팀은 해당 페이로드가 Microsoft 피싱 페이지로 연결됐을 가능성이 매우 높다고 보고 있습니다.
캠페인 예시 - Intermedia
우리가 관찰한 Intermedia 링크 래핑 남용은 링크 래핑으로 보호된 이메일 계정에 무단으로 접근하는 데 중점을 두었습니다. 다음은 공격자가 Intermedia로 보호된 조직 내의 이메일 계정을 침해하여 악성 링크가 포함된 피싱 이메일을 발송하는 데 사용한 피싱 메시지의 예입니다. 이메일이 조직 내부에서 전송되었기 때문에 Intermedia는 링크가 자체 인프라를 통과할 때 자동으로 다시 작성했습니다.
이 이메일은 'Zix' 보안 메시지 알림인 척 위장하면서 ‘보안 문서 보기’라는 미끼를 사용합니다.
래핑된 링크가 있는 피싱 이메일이 손상된 계정을 통해 전송됨
‘보안 문서 보기’ 버튼의 하이퍼링크는 Intermedia로 래핑된 URL입니다.
여기에서 url[.]emailprotection[.]link URL은 실제 피싱 페이지가 스테이징되어 있는 Constant Contact 페이지로 리디렉션됩니다.
url[.]emailprotection[.]link에서 리디렉션되는 Constant Contact
이 기법을 활용하는 또 다른 일반적인 캠페인에는 가짜 공유 Word 문서가 있습니다.
가짜 공유 Word 문서의 링크가 포함된 피싱 이메일
‘파일로 이동’ 버튼의 하이퍼링크는 역시 Intermedia로 래핑된 URL입니다.
이 링크는 자격 증명을 탈취하기 위해 설계된 Microsoft 피싱 페이지로 리디렉션됩니다.
자격 증명을 탈취하기 위해 설계된 Microsoft 피싱 페이지
이 기술의 또 다른 교묘한 사용 사례는 Microsoft Teams를 사칭하는 것이었습니다.
가짜 Teams 메시지 링크가 포함된 피싱 이메일
‘Teams에서 회신’ 버튼의 하이퍼링크는 다음과 같은 래핑 링크입니다.
역시나 이 링크는 자격 증명을 탈취하도록 설계된 Microsoft 피싱 페이지로 리디렉션됩니다.
자격 증명을 탈취하기 위해 설계된 Microsoft 피싱 페이지
영향
합법적인 urldefense[.]proofpoint[.]com 및 url[.]emailprotection URL로 악의적인 목적지를 은폐하는 이러한 피싱 캠페인은 신뢰할 수 있는 링크 래핑 서비스를 남용하여 공격이 성공할 가능성을 크게 높입니다. 공격자는 이러한 보안 도구에 대한 사용자의 내재된 신뢰를 악용하여 클릭률을 높이고 다음과 같은 영향을 미칠 가능성을 증가시킬 수 있습니다.
직접적인 금전 손실: 공격자는 클릭 순간에 사기성 링크를 합법적으로 보이게 하여 사용자의 의심을 줄이고, 직접적인 금전 손실 가능성을 높입니다. 2024년에는 사기 신고의 25%가 이메일을 접촉 수단으로 사용했습니다. 이 중 11%가 재정 손실을 초래했으며, 총 손실은 5억 200만 달러에 달했고, 사고당 평균 손실은 600달러였습니다.
ID 도용으로 이어지는 개인 계정 손상: 링크 래핑은 개인 데이터를 탈취하는 데 매우 확률 높은 방법이 될 수 있습니다. 피싱 캠페인은 공격자가 개인 정보를 획득하는 주요 방법으로, 2024년에는 110만 건의 신원 도용 신고가 접수되었으며, 신용 카드 사기와 정부 혜택 사기가 주요 범주였습니다.
피해자의 상당한 시간적 부담: 신원 도용의 피해자는 피싱을 통해 발생하는 경우가 많으며, 회계년도 2024년에 세금 관련 사건을 해결하는 데 걸린 평균 소요시간만 22개월(676일) 이�상으로 상당한 시간적 압박이 발생합니다.
주요 유출 방법인 피싱: Comcast의 연구에 따르면 모든 유출의 67%가 누군가가 안전해 보이는 링크를 클릭하는 것에서 시작됩니다.
피싱을 통한 자격 증명 도용: 2024년 Picus Security에서 관찰한 자격 증명 도용 사건이 300% 급증했는데, 이는 링크 래핑과 같은 더 효과적인 피싱 기법 때문일 수 있습니다.
감지 및 완화
이 캠페인은 보안 공급자의 신뢰할 수 있는 도메인을 악용하기 때문에 기존의 평판 기반 URL 필터링은 효과가 없습니다. 다음 감지 기능들은 앞서 설명한 링크 래핑 기술을 활용하는 피싱 캠페인을 방지하기 위해 Cloudflare Email Security에서 작성한 기능들입니다. 이 기능들은 과거의 캠페인 데이터를 기반으로 다양한 신호를 활용하고, 링크 래핑 URL이 포함된 메시지들에 대해 학습된 머신 러닝 모델을 통합하고 있습니다.
SentimentCM.HR.Self_Send.Link_Wrapper.URL
SentimentCM.Voicemail.Subject.URL_Wrapper.Attachment
