디지털 포렌식

이메일 포렌식의 분석 기법과 위조 판별 방법

bettytee 2025. 6. 30. 18:01

이메일은 전 세계에서 가장 널리 사용되는 디지털 커뮤니케이션 수단이다.
업무 협의, 법적 계약, 결제 승인, 신고 접수 등 수많은 중요 절차가 이메일을 통해 이루어지며, 그 내용은 법적 증거로 활용되는 경우도 많다. 하지만 이메일은 상대적으로 위조나 변조가 쉬운 구조를 갖고 있어,법적 분쟁이나 보안 사고 발생 시 이메일의 진위 여부를 분석하는 작업이 필수적이다.이러한 분석을 기술적으로 수행하는 것이 바로 이메일 포렌식(email forensics)이다.

이메일 포렌식은 보안 침해 대응, 내부 고발 검증, 사기 수사, 사이버 범죄 추적 등
다양한 분야에서 활용되고 있다. 특히, 이메일의 발신자 위조(Spoofing)와 본문 변조, 첨부 파일 조작, 시간 정보 왜곡 등은 실제 사건에서 자주 발견되는 침해 기법이기 때문에 이를 기술적으로 검출하고 입증할 수 있는 포렌식 분석 기술은 법적 효력을 위한 핵심 수단이 된다.

이메일의 위조 여부를 식별하기 위한 포렌식 분석 절차와 검증 기법

 이메일 포렌식의 정의와 분석 대상

이메일 포렌식은 메일 시스템에 저장된 메시지, 메타데이터, 헤더 정보, 첨부 파일, 인증 로그 등을 수집하고
분석하여 해당 이메일의 진위 여부, 조작 가능성, 사용 행위를 밝혀내는 기술이다.
단순히 메일의 본문만 보는 것이 아니라, 메일이 어떤 경로로 전송되었는지, 어떤 서버를 거쳤는지,
DNS 인증을 통과했는지 등을 복합적으로 검토해야 한다.

분석 대상은 다음과 같이 분류된다:

  • 헤더(Header): 송수신 경로, IP 정보, 시간 정보, 인증 결과
  • 본문(Content): 작성 내용, HTML 코드, 링크, 이미지
  • 첨부 파일(Attachment): 문서, 실행파일, 스크립트 포함 여부
  • 서버 로그(Log): 메일 송수신 기록, 전송 실패 정보
  • 저장 경로 및 백업: 메일 서버의 아카이브 또는 클라이언트 보관본

이메일 포렌식은 단순한 진위 판단을 넘어,
공격자의 흔적을 추적하거나 내부자의 유출 행위를 확인하는 데까지 활용된다.
특히 내부 직원의 퇴직 직전 이메일 이력 분석이나, 특정 메시지가 삭제되었는지를 확인하는 데에 매우 유용하다.

 

이메일 분석의 핵심 기법: 헤더와 전송 경로 추적

이메일의 가장 중요한 분석 요소는 헤더(Header)이다.
헤더에는 메시지의 발송 서버, 중계 서버, 최종 수신 서버, 시간 정보, 인증 결과 등이 포함된다.
이 중에서도 핵심은 Received 필드SPF, DKIM, DMARC 정보다.

  • Received 필드는 이메일이 어떤 서버를 거쳐 도착했는지를 시간순으로 보여준다.
    이 필드를 역추적하면 발신자의 IP, 서버의 지리적 위치, 서버 도메인의 실제 운영자 등을 추적할 수 있다.
  • SPF (Sender Policy Framework)는 해당 도메인에서 보낼 수 있는 IP 목록을 정의한다.
    등록되지 않은 IP에서 메일이 발송되면 SPF 인증이 실패한다.
  • DKIM (DomainKeys Identified Mail)은 메일에 디지털 서명을 추가하여 본문 변조 여부를 판단할 수 있게 한다.
  • DMARC (Domain-based Message Authentication, Reporting and Conformance)는 SPF와 DKIM 결과를 종합하여
    이메일의 최종 신뢰도를 판단하고, 수신 측 정책을 적용하게 해준다.

이메일이 위조된 경우, 이 인증 체계를 제대로 통과하지 못하므로
분석가는 이를 통해 위조 가능성을 매우 높은 확률로 식별할 수 있다.
또한, 해커가 경유지 서버를 조작했거나 메일 발신 시각을 왜곡했다면
헤더 안의 서버 간 시간 불일치 등을 통해 위조 정황이 드러날 수 있다.

 

이메일 위조 및 변조 판별 방식

이메일 포렌식 분석에서는 크게 세 가지 위조 시도를 다룬다:

  • 발신자 위조(Spoofing): 이는 공격자가 이메일 주소를 실제 조직 또는 개인처럼 보이도록 조작해 수신자를 속이는 방식이다.
  • 본문 조작(Content Manipulation): 메일 발송 후, 전달 도중이나 수신자 시스템에서 내용이 조작되었는지를 확인하는 절차다.분석가는 본문의 해시값, 디지털 서명 유무, DKIM 검증 결과 등을 바탕으로 내용이 변경되었는지 판별한다. 클라이언트에서 수정된 HTML, 자바스크립트 삽입 등도 탐지 대상이다.
  • 첨부 파일 위조 또는 악성 삽입: 첨부 파일이 원래 보낸 내용과 다르거나, 악성코드가 삽입된 경우포렌식 분석을 통해 해시값 비교, 파일 메타데이터 분석, YARA 룰 기반 탐지 등을 수행한다.특히 .doc, .xls, .pdf, .js, .zip 등 실행 가능성 있는 확장자 파일은 분석 대상에서 우선순위가 높다. 변조 여부는 서버에서 보관된 원본 메일과 사용자 메일함의 내용을 비교하거나, 보관 정책(Retention Policy) 기반의 증거 보존 시스템을 통해 재검증할 수 있다.

 

이메일 포렌식 도구와 자동 분석 기술

이메일 포렌식 작업은 수작업으로 하기엔 매우 방대한 정보를 다뤄야 하기 때문에,
전문 분석 도구의 사용이 필수적이다. 실무에서 자주 사용되는 도구는 다음과 같다:

  • MailXaminer: 다양한 이메일 포맷(PST, OST, EML 등) 지원, 메타데이터 추출, 첨부파일 복호화 기능
  • Forensic Email Collector (FEC): 서버와 직접 연결하여 포렌식 이미지 추출
  • Magnet AXIOM Cyber: 이메일과 관련된 모든 데이터(웹 기반 메일 포함) 분석 및 증거 자동화 기능
  • Paraben E3 Email Examiner: 기업 내부 메일 아카이브 분석에 강력한 기능 제공
  • X-Ways Forensics + MSG Viewer: 메일 헤더 및 메타데이터 정밀 분석 가능

이외에도 머신러닝을 기반으로 한 스팸/피싱 탐지 엔진과 연계하면,
메일의 특이 행위나 패턴 기반 위협까지 자동으로 분류할 수 있다.
특정 키워드, URL, 사용자 행위 로그 기반의 행동 분석 모델(Behavioral Analysis)도 이메일 포렌식과 결합되는 추세다.

 

이메일 포렌식은 위조 여부 검증, 본문 조작 탐지, 첨부파일 분석 등을 통해
법적 증거의 신뢰도를 높이고 보안 사고 대응의 핵심 수단이 된다.
정확한 헤더 분석과 인증 기술 활용이 핵심이다.