CSS를 악용한 피싱 메시지 탐지 회피 기법 분석

Attackers use CSS to create evasive phishing messages

Attackers use CSS to create evasive phishing messages

 

• 공격 개요
  • 공격자들이 CSS(Cascading Style Sheets) 속성을 악용하여 이메일 보안 필터를 우회하고 사용자 행위를 추적하는 사례가 증가
  • Cisco Talos는 2024년 하반기부터 2025년 2월까지 CSS를 활용한 실제 피싱 캠페인을 분석
  • 주요 목적은 콘텐츠 은닉, 사용자 추적, 디바이스 및 클라이언트 식별(지문 수집)
• 탐지 회피 기법
  • text-indent: -9999px 사용으로 텍스트를 화면 바깥으로 밀어내어 수신자에게 보이지 않게 설정
  • font-size: 0.1px 이하 또는 color: transparent로 설정해 텍스트를 사실상 눈에 띄지 않게 은폐
  • opacity: 0, height: 0, max-height: 0, mso-hide: all 등 여러 속성을 조합해 Outlook 등 주요 이메일 클라이언트에서 콘텐츠 비가시화
  • 실제 사용 사례로는 Blue Cross Blue Shield를 사칭한 피싱 메일이 확인됨
    • 이메일 본문 및 프리헤더(preheader)에 은닉 콘텐츠 다수 삽입
    • 프리헤더에는 “FOUR yummy soup recipes just for you!”와 같이 평범한 텍스트를 삽입하여 필터 우회 시도
• 사용자 추적 및 지문 수집 방식
  • @media CSS at-rule을 활용하여 수신자의 디스플레이, 언어, 테마, 접근성 설정 등 환경 정보를 수집
  • 수신자의 행동(예: 이메일 보기, 프린트 여부 등) 또한 간접적으로 추적 가능
  • CSS 속성을 통해 화면 크기, 해상도, 색상 깊이 등의 정보를 수집하여 지문 기반 추적(Fingerprinting) 수행
• 보안 및 프라이버시 위험
  • CSS는 자바스크립트 사용이 제한된 이메일 환경에서도 풍부한 스타일 조작 및 사용자 행동 추적이 가능
  • 이메일 보안 필터는 정적 분석에 기반하는 경우가 많아 CSS에 숨겨진 악성 콘텐츠를 탐지하지 못할 수 있음
  • 사용자 기기 특성, 클라이언트 종류 등의 지문 수집은 프라이버시 위협으로 직결됨
• 보안 권고
  • 고급 필터링 엔진 도입을 통해 숨겨진 텍스트, 이미지 기반 위협 요소, CSS 은닉 속성 탐지
  • 이메일 프라이버시 프록시(Email Privacy Proxy) 활용하여 외부 리소스 자동 변환 및 스타일 속성 강제 삽입
  • CSS 변환 처리(Top-level CSS rules → inline style) 방식으로 외부 추적 시도 차단
  • 콘텐츠 관리 시스템(CMS) 또는 웹메일 백엔드에서 외부 CSS 불러오기 차단, 비표준 CSS 속성 제한 설정
  • 보안 교육을 통해 사용자가 의심스러운 브라우저 업데이트 메시지, 가려진 텍스트에 대한 경각심을 가지도록 유도
• 결론
  • CSS는 단순한 디자인 언어로 간주되기 쉽지만, 실제로는 강력한 보안 우회 및 추적 수단으로 악용될 수 있음
  • 보안 솔루션은 CSS 기반 위협을 탐지할 수 있도록 시각적 분석과 구조 분석 기능을 강화해야 함
  • 조직 차원에서 이메일 콘텐츠 보안 정책 강화, 보안 로그 기반 이상 탐지 도입, 개인정보 추적 최소화 기술 적용이 필요