지능형 타깃 공격과 랜섬웨어가 정상 업무로 위장한 악성문서를 통해 퍼져나가고 있다.이 때문에 문서에서 악성 액티브 콘텐츠를 원천적으로 제거하는 ‘CDR’ 기술이 주목받고 있다. 외부에서 유입되는 모든 문서에서 악의적인 구성요소를 제거해 사이버 공격 위협을 줄이는 기술이다.<편집자>
갠드크랩 랜섬웨어가 올해 초 부터 전 세계에서 빠르게 퍼져나가면서 워너크라이보다 더한 위력을 떨치고 있다. 저작권 위반 관련 내용부터 입사지원서, 택배사 배송팀 사칭 등 다양한 방법으로 사용자를 속이고 있다.
위장된 메일의 내용은 누가 봐도 속을 수밖에 없도록 정상 문서로 가장하고 있다. 우리나라에서 발견된 택배 배송팀 사칭 메일의 경우, 배송장과 영수증을 압축파일로 첨부해 정상메일로 보이도록 했다. 취업전문사이트 기업별 채용정보에 기재된 국내 기업 인사 담당자를 대상으로 입사지원서를 위장한 악성 이메일이 확인됐으며, 디자이너라고 소개하는 사람이 자신이 저작권을 등록한 이미지가 도용됐다며 저작권법 위반을 알리는 내용으로 속이기도 했다.
샌드박스로 탐지할 수 없는 지능형 악성문서
갠드크랩 뿐만 아니라 이전에 등장했던 수많은 랜섬웨어 공격과 지능형 지속위협(APT) 공격도 정교하게 위장된 메일과 첨부파일을 이용한다. 범죄자들이 악성 문서를 이용하는 이유는 사용자를 속이기 쉽기 때문이다.
업무의 많은 부분은 문서를 통해, 여러 사람과 협업하면서 진행된다. 이메일, 파일서버, 공유폴더, 각종 협업 시스템 등을 통해 문서가 유통되기 때문에 업무와 연관된 문서를 이용하면 사용자를 쉽게 속일 수 있다. 정상 문서에서 실행되는 매크로, 자바스크립트, OLE 객체 등에 악성 행위를 하는 코드를 몰래 삽입하면 전통적인 보안 솔루션은 탐지하지 못한다.
윤광택 시만텍코리아 상무는 “실행파일이나 바이너리 파일 등 전통적인 악성코드 배포 방식은 대부분의 보안 솔루션을 통해 차단된다. 그러나 문서에 악성코드를 숨기면 백신이나 샌드박스에서 걸러내지 못하는 경우가 많다. 매크로를 이용하거나 문서에 취약점이 숨겨진 동영상을 첨부하면 공격에 성공할 확률이 높아진다”며 “특히 PDF 뷰어와 같은 읽기 전용 프로그램은 보안에 취약하며 공격에 쉽게 사용될 수 있다”고 말했다.
기업들이 지능적인 공격을 탐지하기 위해 샌드박스를 사용하지만, 타깃 맞춤형으로 제작된 악성문서는 특정 OS 버전과 오피스 프로그램 버전에서만 동작하도록 되어 있기 때문에 샌드박스가 이와 동일한 환경의 분석을 지원하지 않으면 찾아내기 어렵다. 또한 샌드박스 분석에 소요되는 10분~15분 가량을 기다렸다가 악성 행위를 시작하도록 설계했다면 샌드박스를 쉽게 무력화 할 수 있다.
이메일로 유입되는 악성문서를 제거하기 위해 스팸메일 차단 솔루션이나 이메일 보안 솔루션을 사용하는데, 대부분의 경우 시그니처, 키워드, 블랙리스트 방식을 채택하고 있어 타깃 공격을 막지 못한다.
문서에서 악성 액티브 콘텐츠 제거하는 'CDR'
안티바이러스와 샌드박스 솔루션 기업들은 악성문서를 이용해 진행되는 공격을 차단하는 방법을 연구해왔으며, 그 중 하나가 CDR(Content Disarm & Reconstruction)이다. 문서에서 악성 액티브 콘텐츠를 제거하고 안전한 콘텐츠만을 재조립하는 기술로, 시만텍 엔드포인트 보안 솔루션에는 ‘디스암’이라는 모듈로 탑재돼 있다.
문서를 이용한 공격이 급증하면서 CDR 기능만을 따로 떼어서 독립적인 솔루션으로 공급되는 시도도 나타났다. 2010년 이스라엘의 보티로(VOTIRO)가 가장 먼저 CDR 솔루션을 출시했으며, 우리나라 문서보안 기업 소프트캠프가 2013년 ‘실덱스(SHIELDEX)’를 출시하고 CDR 시장을 개척해왔다. 미국의 보안 기업 옵스왓(OPSWAT)이 2014년에 제품을 출시했고, 지란지교시큐리티가 지난해 제품을 출시하면서 경쟁에 뛰어들었다.
CDR은 시장조사 전문기관에서도 주목할 만한 솔루션으로 소개하고 있다. 가트너는 보안 메일 게이트웨이를 보완할 수 있는 기술로 네트워크 샌드박스와 CDR을 언급했다.
CDR 시장은 현재 일본에서 가장 뜨겁게 달아올랐다. 마이넘버 시행 직후 일본 연금기구에서 125만건의 개인정보가 유출되는 사고가 발생했는데, 이 기관은 글로벌 샌드박스 제품을 사용하고 있었는데도 이메일 첨부파일을 이용한 전형적인 APT 공격을 막지 못했다. 이 사고 후 일본에서는 이메일 보안을 강화하는 가이드라인을 발표했으며, 총무성은 지방자치단체의 보안 강화를 위해 망분리와 무해화를 의무화했다.
총무성이 정의한 무해화는 외부에서 유입되는 문서에서 악의적인 행동을 없애는 것을 말하며, CDR 기술을 특정하지는 않고 있다. 외부 유입 문서를 아예 사용하지 않는 것도 무해화가 될 수 있으며, 이미지 혹은 읽기전용 문서로 유통하는 것도 무해화가 될 수 있다. 그러나 이러한 방식으로는 정상적인 업무가 진행되기 어렵기 때문에 업무 편의성과 보안성을 만족시킬 수 있는 CDR 기술이 채택되고 있다.
