APT 관리(Anti-Phishing & Targeted Attack Management) 기능은 통합 메일 보안 서비스에서 의심스러운 첨부파일·이력 패턴·발송 경로를 분석하여 APT(지능형 지속 공격, Advanced Persistent Threat) 메일을 탐지하고 대응하기 위한 설정입니다.
APT 관리 메뉴 구성
APT 관리 설정은 🧭 메일 보안 관리자 → [수신 보안 > APT 관리 > 도메인별 설정] 메뉴에서는 아래 작업을 수행할 수 있습니다.
첨부파일 확장자 검사 설정
APT 의심 메일 검사 중 첨부파일 확장자 검사를 활성화하면 메일에 포함된 첨부파일의 확장자 형태를 기준으로 의심 여부를 판단합니다.
-
의심 확장자 검사
- Windows 실행 파일(EXE, SCR, BAT 등) 첨부 여부를 검사합니다. 예: setup.exe, invoice.scr
-
이중 확장자 검사
-
확장자가 두 개 이상인 첨부파일을 탐지합니다. 예: st.do.exe, report.pdf.exe
-
-
첨부파일 RLO 검사
-
RLO(Right-to-Left Override) 문자 사용 여부를 검사합니다.
-
공격자는 RLO를 이용해 파일명을 반대로 표시하여 abc.exe 가 exe.abc 처럼 보이게 위장할 수 있습니다.
-
⚠️ 참고:
첨부파일 확장자 검사는 APT 공격의 가장 기본적인 1차 방어선입니다.
사용을 “안함”으로 설정할 경우, 실행 파일 첨부 탐지 기능이 비활성화됩니다.
메일 이력 검사 설정
메일 이력 검사는 일정 학습 기간 동안 정상적으로 수신된 메일의 패턴을 수집하고, 이후 들어오는 메일이 해당 패턴과 일치하지 않을 경우 의심 메일로 판단합니다.
1️⃣ 학습 기간 및 의심 메일 처리 상세 설정
-
수신 메일 패턴을 학습하는 기간을 선택할 수 있습니다.
- 상세 보기를 체크하면, 메일 전송 경로 및 환경 정보를 기반으로 세밀한 검사 항목을 지정할 수 있습니다.
다음 항목 중 3개 이상이 불일치하면 의심 메일로 처리됩니다.
-
이메일 클라이언트 검사 : 발신 시 사용된 클라이언트(Microsoft Outlook, Thunderbird 등)가 학습된 데이터와 일치하는지 확인합니다.
-
최종 메일 전달 서버 검사 : 보안 시스템에 수신되기 직전의 메일 서버가 기존 기록과 일치하는지 검사합니다.
-
최초 메일 송신 서버 검사 : 송신자가 처음 접속한 메일 서버 정보가 학습된 이력과 일치하는지 확인합니다.
-
송신자 접속 정보 검사 : 송신자의 접속 IP 또는 인증 이력이 기존 패턴과 동일한지 검사합니다.
-
경유국 검사 : 메일이 경유한 국가 정보가 평소 패턴과 다른 경우 탐지합니다.
-
2️⃣ 학습 종료 후, 처리 방식 설정
- 첫 수신 메일은 모두 의심메일로 처리
학습 데이터가 없는 새 발신자의 첫 메일을 모두 의심 메일로 간주합니다. - 특정 조건 모두 충족 시 의심메일로 처리
다음 세 조건을 모두 만족할 때만 의심 메일로 분류합니다.- 학습 기간 동안 송신자 이력이 없는 경우
- 첨부파일이 실행 가능한 확장자를 가진 경우
- 메일이 학습된 경유국 외의 국가를 통해 전달된 경우
의심 메일 알림 설정
APT 의심 메일로 탐지된 경우, 해당 메일의 수신자에게 자동으로 의심 메일 알림 메일을 발송할 수 있습니다.
-
사용 안함 : 알림 메일 미발송. 수신자는 보안센터에서 직접 확인 가능.
-
사용 : 의심 메일 알림을 발송하며,
알림 메일의 제목과 발신자 정보를 직접 지정할 수 있습니다.
안심 메일 알림 설정
“안심 메일로 변환” 기능을 사용하면 정상 메일의 첨부파일을 제거하고, 메일 본문을 TEXT 형식으로 변환하여 전달합니다. 이 기능은 APT 공격으로 의심되는 파일이 포함된 경우, 메일 내용을 안전하게 전달하기 위해 사용됩니다.
-
사용 : 첨부파일 제거 + 본문 TEXT 변환
-
사용 안함(기본값) : 원본 상태로 유지