지능형 타깃 공격과 랜섬웨어가 정상 업무로 위장한 악성문서를 통해 퍼져나가고 있다.이 때문에 문서에서 악성 액티브 콘텐츠를 원천적으로 제거하는 ‘CDR’ 기술이 주목받고 있다. 외부에서 유입되는 모든 문서에서 악의적인 구성요소를 제거해 사이버 공격 위협을 줄이는 기술이다.<편집자>
문서·악성코드 전문성 필수
CDR은 문서의 구조를 전문적으로 이해해야 구현할 수 있는 기술이다. 유해한 코드가 복잡한 문서 구조 중 어느 위치에 있는지 파악하지 못하면 정상 콘텐츠라고 판단하고 떼어낸 정적 콘텐츠에 유해 콘텐츠가 숨어있을 수도 있다.
한글, 워드, 엑셀, 이미지, PDF, PPT, CAD 등 거의 모든 콘텐츠를 분석하고 재구성할 정도로 문서에 대해 잘 알아야 한다. 무해화 작업에 시간이 오래 걸려서도 안 되고, 원본과 완벽하게 동일해야 한다.
우리나라 한글이나 일본의 이치타로처럼 국가나 기업이 별도로 원하는 포맷이 있기 때문에 그 포맷에 맞춰 완벽하게 동일한 재구성을 하기위해서는 많은 연구와 개발이 필요하며, 문서보안에 대한 충분한 이해와 기술력이 필요하다. 게다가 콘텐츠 프로그램의 업데이트가 있으면 CDR도 업데이트를 해야 하기 때문에 안티 바이러스처럼 업데이트도 지속적으로 해야 한다
CDR이 성공하기 위해서는 악성코드와 악성파일에 대해서도 정확하게 파악하고 있어야 하며, 무엇보다 현장에 공급되고 운영되어 온 경험이 중요하다.
배환국 소프트캠프 대표이사는 “CDR은 다양한 환경에서 오랫동안 사용하면서 검증된 경험이 없으면 신뢰받기 어려운 기술”이라며 “이메일, 파일, 웹 등 문서가 유통되는 여러 경로와 수많은 종류의 파일 형식, 다종다양한 업무 형태를 안정적으로 지원할 수 있어야만 성공할 수 있다”고 설명했다.
CDR을 업무에 적용했을 때 가장 많이 고민하게 되는 것이, 의심되는 액티브 콘텐츠를 제거할 것인가 말 것인가 결정하는 것이다. CDR은 문서에서 액티브 콘텐츠를 제거해 정적인 상태로 만든다. 만일 문서에 동영상이 첨부돼 있다면 이 동영상을 제거할 것인지. 동영상에 알려진/알려지지 않은 취약점이 숨어있을 수 있다는 사실을 감안하면 제거해야 하지만, 업무에 꼭 필요한 동영상이라면 그대로 두어야 한다.
문서 파일에는 정상 문서라는 사실을 증명하는 전자서명이 있어서, 파일을 열기 전에 정상적인 전자서명이 있는지 검증하게 된다. 전자서명은 액티브 콘텐츠인데, 액티브 콘텐츠를 모두 제거하는 것이 CDR이라면 전자서명까지 제거해야 하는지 등도 고민이다.
보통의 경우, 즉시 판단하지 못하는 의심스러운 문서나 파일은 일단 격리한 후, 업무에 반드시 필요한 것이라고 판단했을 때에만 다시 분석한 후 열어보도록 한다. 이렇게 격리되는 케이스가 많으면 원활한 업무 진행에 방해가 되며, 보안 관리자의 업무가 폭증하게 된다.
김종광 인섹시큐리티 대표이사는 “업무에 필요한 문서와 관련해서는 수많은 예외처리가 발생하게 되는데, 예외가 많으면 관리가 어렵고, 보안 취약점이 증가하게 된다. 문서와 악성코드에 대한 전문지식과 함께 업무 특성을 정확하게 파악하는 것이 필요하다”고 말했다.
문서보안 전문성 기반으로 한 CDR
우리나라에서 가장 먼저 CDR 기술을 개발하고 고객사에 적용, 성공적으로 운영해 온 소프트캠프는 20여년간 축적한 ‘문서 전문성’을 가장 강력한 경쟁력이라고 강조하고 있다. 소프트캠프는 국내 대표적인 DRM 솔루션 기업으로, 주요 정부기관과 대형 은행, 제조사 등 대규모 환경에 문서보안 기술을 제공해왔다.
이렇게 축적된 경험을 바탕으로 개발된 ‘실덱스’는 모든 형식의 문서에서 텍스트, 이미지,도표, 그래프 등 비저블 콘텐츠(Visible Contents) 만을 추출해 문서를 재구성한다. 외부에서 유입되는 문서를 바이너리 코드 형태로 열람하고 문서 구조를 분석한 후 비저블 콘텐츠를 추출, 악성코드가 삽입될 가능성이 있는 매크로, 액티브X, 스크립트, 임베디드 오브젝트를 제거하고 새로운 파일로 저장한다.
실덱스 제품군에는 망분리 환경에서 망연계를 통해 유입되는 파일을 재구성해 반입하는 망연계 파일전송 시스템인 ‘실덱스 새니트랜스 넷(SHIELDEX SaniTrans Net)’과 이메일을 무해화핼 안전한 메일 본문과 첨부파일만 내부로 유입하는 메일보안 솔루션 ‘실덱스 새니트렌스 메일(SHIELDEX Sanitrans Mail)’이 있다.
우리나라 군, 지방자치단체, 제1금융권 등 다수에 공급됐으며, 일본 사카도시청 등 지자체 30개와 일반기업, 교육위원회 등에 구축돼 운영하고 있다.
배환국 대표는 “현재 주요 타깃 고객은 문서보안을 사용하고 있는 고객이며, 공공기관, 금융기관, 대기업 그룹사를 대상으로 영업활동을 전개하고 있다. CDR 기술과 문서보안 암호화를 연동해 사용하면 보안성을 더 높일 수 있다”며 “더불어 망분리 의무화로 지정된 기관이나 지방자치단체, 이메일 보안이 필요한 기관, 기업 등을 대상으로 영업 활동을 전개하고 있다”고 말했다.
