NetEase 서브도메인 및 내부 메일 서버 악용한 고도화된 Phishing 공격 분석

Context

정상적인 기업 도메인과 내부 인프라를 탈취하여 보안 인증 체계를 무력화한 정교한 사회 공학적 공격 사례임. 기존의 SPF, DKIM, DMARC 기반의 이메일 인증 시스템만으로는 내부자 위협이나 계정 탈취를 통한 신뢰 기반 공격을 차단하기 어려운 한계점이 존재함.

Technical Solution

• corp.netease.com 도메인의 정식 SPF 및 DKIM 서명을 통한 메일 서버 인증 통과로 수신측 스팸 필터 우회
• X-Mailer 헤더 분석 결과 Coremail Webmail Server(XT6.0.5)를 통한 내부 시스템 직접 발송 확인
• infunease.youdaoads.com과 같은 정식 기업 서브도메인을 생성하여 인프라의 기술적 신뢰도 확보
• 403 Forbidden 응답 및 host_not_allowed 설정으로 분석 도구의 접근을 차단하는 보안 인프라 구축
• 사회 공학적 기법을 결합하여 개인정보 및 금융 데이터 수집을 위한 다단계 데이터 파이프라인 설계

Key Takeaway

기술적 인증(Technical Authentication)의 통과가 곧 송신자의 신뢰성(Trustworthiness)을 보장하지 않음을 시사하며, 내부 계정 권한 관리 및 서브도메인 모니터링을 포함한 다층 방어 체계(Defense in Depth) 구축이 필수적임.