Swordphish: Postmark을 활용한 이메일 피싱 공격 시각화 도구

카테고리

프로그래밍/소프트웨어 개발

서브카테고리

웹 개발

대상자

• 이메일 보안 및 피싱 탐지 도구 개발에 관심 있는 개발자
• API 통합 및 웹 애플리케이션 구축 경험자
• 보안 분석 및 인공지능 기반 분석에 관심 있는 연구자
• 난이도: 중급 이상 (API 통합 및 AI 모델 사용 포함)

핵심 요약

• Postmark의 inbound processing 및 Messages API를 활용하여 이메일의 메타데이터 분석
• SvelteKit과 FastAPI 기반의 프론트엔드/백엔드 아키텍처 구축
• Google Gemini 2.5 Flash AI 모델을 통해 이메일 내용의 피싱 위험도 분석

섹션별 세부 요약

1. Postmark API 활용 기능

• Postmark의 inbound processing 기능으로 이메일 파싱
• Messages API를 통해 이메일의 JSON 형식 데이터 추출
• "HtmlBody", "Headers", "Attachments" 등의 메타데이터를 기반으로 피싱 분석

2. 기술적 구현

• 프론트엔드: SvelteKit을 사용한 간단한 렌더링 및 상태 관리
• 백엔드: FastAPI 기반의 API 엔드포인트 제공 및 Postmark API 연동
• SQLite 데이터베이스를 활용한 이메일 메타데이터 저장
• Gemini 2.5 Flash AI 모델을 통한 이메일 내용 분석

3. JSON 데이터 처리

• Postmark API 응답의 JSON 구조를 단순화하여 파싱
• "Received-SPF" 필드에서 SMTP 클라이언트 IP 추출 및 역방향 조회
• "aiAnalysis" 속성에 Gemini의 분석 결과 저장

4. SPF 및 SpamAssassin 분석

• "Received-SPF"에서 client-ip 추출 후 IP 주소의 ASN 정보 분석
• SpamAssassin의 테스트 결과 (예: DKIM_VALID, SPF_PASS)를 시각화
• Spam Risk 점수를 기반으로 이메일의 스팸 위험도 평가

5. AI 기반 피싱 분석

• Gemini 2.5 Flash 모델을 통해 이메일의 피싱 언어 탐지
• "aiAnalysis" 속성에 AI 분석 결과를 포함하여 사용자에게 제공
• MCP 서버를 통한 추가 맥락 정보 입력이 복잡한 피싱 탐지에 유리

결론

• Postmark의 API를 활용한 이메일 메타데이터 분석은 피싱 탐지의 핵심 요소로, SvelteKit + FastAPI 기반의 간결한 아키텍처와 Gemini AI 모델 연동이 실무 적용에 유리함.
• 보안 분석을 위해 IP 역방향 조회 및 SpamAssassin 테스트 결과 시각화가 필수이며, AI 분석 결과의 정확도 향상을 위해 MCP 서버와의 연동이 필요함.
• Step One 플랫폼을 통한 LLM 모델 상품화는 개발자에게 추가 수익 창출 기회를 제공.