[CDR④] 공격 방어 전문성 갖춰야 CDR 성공
상태바
[CDR④] 공격 방어 전문성 갖춰야 CDR 성공
  • 김선애 기자
  • 승인 2018.06.05 08:31
  • 댓글 0
이 기사를 공유합니다

정교한 악성문서 기반 공격 방어에 최적…모든 사이버 공격 막는다는 주장은 ‘거짓’

지능형 타깃 공격과 랜섬웨어가 정상 업무로 위장한 악성문서를 통해 퍼져나가고 있다.이 때문에 문서에서 악성 액티브 콘텐츠를 원천적으로 제거하는 ‘CDR’ 기술이 주목받고 있다. 외부에서 유입되는 모든 문서에서 악의적인 구성요소를 제거해 사이버 공격 위협을 줄이는 기술이다.<편집자>

CDR 만으로는 APT 방어 못해

사이버 공격에 문서를 이용하는 것은 성공률이 높고 공격에 필요한 시간과 비용이 합리적이기 때문이다. 만일 악성문서의 공격 성공률이 낮아지거나 공격 탐지율이 높아진다면 공격자들은 악성문서를 더 고도화하거나, 아니면 더 쉽고 저렴하게 공격할 수 있는 다른 방법을 찾아나설 것이다.

김종광 인섹시큐리티 대표는 “CDR은 사이버 공격 방어 기법 중 하나이며, 수많은 공격 기법 중 문서에 유해한 콘텐츠를 숨기고 있을 때에만 효과를 발휘할 수 있다. CDR만으로 모든 APT와 랜섬웨어를 막을 수 있다고 주장하는 것을 맞지 않다”며 “또한 현재 CDR 제품의 콘텐츠 추출 기술을 우회하는 신종 공격이 유입됐을 때 이를 어떻게 방어할 것인지도 고민해야 한다”고 지적했다.

그는 이어 “CDR을 설계할 때 문서와 악성코드에 대한 전문 지식이 물론 중요하지만, 그보다 먼저 공격이 어떻게 진행되고, 어떻게 발전하고 있는지, 기존 기술을 어떻게 회피하는지 분석하고 대응할 수 있는 기반이 반드시 필요하다”고 강조했다.

인섹시큐리티는 다양한 보안 솔루션을 유통하면서 축적한 노하우를 기반으로 보안 솔루션에서 생성되는 각종 위협 정보를 연동하고 분석해 은밀하게 진행되는 공격을 효과적으로 탐지할 수 있는 솔루션을 개발했다. 자회사 마에스트로를 통해 개발·공급되는 ‘마에스트로(Maestro)’를 출시했으며, 다종 보안 솔루션을 연동하고 분석해 기업 내부로 유입되는 파일의 악성코드 여부와 안전성을 검증한다.

마에스트로는 API를 통해 국내에 공급되는 거의 대부분의 보안 솔루션을 연동할 수 있다. 멀티백신 엔진을 이용해 모든 알려진 공격을 선제적으로 차단하고, 의심스러운 파일과 도메인, 이메일 등에 대해 행위분석, 평판분석, 동적·정적분석, 머신러닝 분석, 모바일 취약점 진단 등의 분석을 수행한다.

CDR 기술은 인섹시큐리티가 국내에 판매하는 옵스왓의 ‘메타디펜더(Metadefender)’에서 ‘데이터 살균(Data sanitization)’ 이라는 기능으로 제공하는데, 모든 문서와 이미지 파일 형식을 포함해 163개의 파일 형식을 지원한다. 메타디펜더는 글로벌 안티바이러스 엔진 30개 이상을 물리적으로 통합해 탐지한다. 문서, 파일, 이메일, 웹 프록시, 키오스크 등 다양한 환경에 적용 가능하다.

▲옵스왓 ‘메타디펜더 이메일’ 작동 방식

엔드포인트·이메일 보안 연계해 공격 방어 효과 높여

CDR은 아직까지 우리나라에서 널리 알려진 기술은 아니다. 그러나 문서를 이용하는 공격이 정교하고 지능적으로 발전하고 있어서 CDR에 대한 관심이 급격하게 높아지고 있다. 사용자가 아무리 주의한다 해도 악성문서를 이용하는 사이버 공격을 완벽하게 차단할 수 없으며, 백신이나 샌드박스로도 정교하게 제작된 위장문서를 탐지하기 어렵기 때문이다.

정진 소프트와이드시큐리티 대표는 “공격이 지능화되면서 보안이 사용자 단으로 내려오고 있다. 가장 높은 위험성을 갖고 있는 사용자단에서 위협을 제거하는 것이 시급하기 때문이다. CDR은 그 중에서도 가장 직접적으로 위협을 제거하는 기술로 각광받고 있다”며 “우리나라에서도 CDR의 인지도가 빠르게 높아지고 있으며, 하반기부터는 본격적인 경쟁이 시작될 것으로 보인다”고 내다봤다.

너무나 당연한 말이지만, CDR만으로 모든 사이버 공격을 막을 수는 없다. 공격은 다양한 방법으로, 다양한 채널로 전개되며, 간단한 이메일 서신만으로도 막대한 수익을 얻는 비즈니스 이메일 스캠도 활개를 치고 있다. CDR은 가장 많은 공격에 이용되는 ‘악성문서’의 위협을 제거할 수 있는 기술이며, 이메일 보안, 엔드포인트 보안, 샌드박스 등의 기술과 함께 사용되면 보안성을 한층 더 높일 수 있다. 더불어 가장 높은 보안성을 갖춰야 하는 망분리 환경, 키오스크 등 특수목적의 전용 시스템에서도 유용하게 사용될 것으로 예상된다.

배환국 소프트캠프 대표는 “CDR은 엔드포인트 보안 제품과 접목하면 성능이 배가될 수 있다. 제품과 제품, 기업과 기업의 협업을 충분히 기대할 수 있다”며 “현재 공공·금융·엔터프라이즈에서 CDR에 관심을 보이고 있어 곧 시장은 빠르게 성장할 것으로 보인다. 또한 업무에 영향을 미치지 않으면서 지능적인 공격을 제거할 수 있도록 CDR 기술은 고도화될 것”이라고 설명했다. 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.