단일 URL 삭제를 넘어 Campaign Graph 기반의 통합 억제 시스템 구축 전략

Context

단순 Ticket 기반의 개별 URL 제거 방식은 현대의 다채널 피싱 공격에 무력한 구조. 공격자가 도메인, SNS, SMS, 앱 마켓 등 다양한 접점을 동시에 활용하는 Campaign 전략을 사용함. 탐지 자체보다 파편화된 신호를 통합하여 실행 가능한 케이스로 변환하는 운영 모델의 부재가 핵심 문제.

Technical Solution

• 개별 아티팩트 중심의 Ticket 처리에서 벗어나 연관된 모든 자산을 묶는 Campaign Graph Reduction 아키텍처 도입
• 스크린샷, 부분 URL, Sender ID 등 정형화되지 않은 파편적 입력을 표준화된 Campaign Object로 변환하는 정규화 파이프라인 구축
• 도메인, 소셜 계정, 광고 소재, 결제 유도 링크 등 서로 다른 증거 기준을 가진 채널 간 상관관계 분석 및 연결 로직 설계
• 단일 삭제 후 재발생 여부를 추적하는 Recurrence Model을 통해 공격자의 운영 지속 시간을 측정하고 억제하는 피드백 루프 구현
• 단순 알림 중심의 Monitor and Notify 모델에서 검증, 상관관계 분석, 통합 억제로 이어지는 Verify, Correlate, and Suppress 운영 체계로 전환

Impact

• Q3 2025 기준 892,494건의 피싱 공격 기록
• 2024년 호주 내 8,000개 이상의 웹사이트, 1,000개 이상의 전화번호 및 Sender ID, 10,000개 이상의 Facebook 스캠 URL 처리

Key Takeaway

보안 운영의 핵심은 개별 지표(Artifact Count)의 제거가 아니라 공격자의 유효 생존 시간(Attacker Dwell Time)을 최소화하는 시스템적 억제 설계에 있음.