[데이터넷] CDR은 이메일이나 웹을 통해 외부에서 유입되는 모든 문서에서 액티브 콘텐츠를 제거하고 안전한 문서로 재조립하는 기술이다. 소프트와이드시큐리티가 제공하는 이스라엘의 보티로와 소프트캠프의 ‘실덱스’, 지란지교시큐리티의 ‘새니톡스’가 대표적인 솔루션이며, 인섹시큐리티가 국내에 공급하는 옵스왓에 CDR 기능이 포함돼 있다.
외부 유입 콘텐츠의 악성코드가 활동하지 못하게 하는 기술로 휴네시온과 신한금융투자가 공동 개발해 특허를 출원한 ‘이미지 파일에 존재하는 악성코드와 은닉정보 무력화 방안’도 주목된다. 신한금투는 분리된 업무망 내에서 외부 인터넷의 이미지를 확인할 수 있는 방안을 마련하고자 했으며, 휴네시온과 함께 이미지 파일에 숨어있는 악성 행위가 일어나지 않도록 하는 기술을 연구했다.
휴네시온은 이미지 파일의 포맷을 변경하는 등의 방식으로 악성코드가 활동하지 못하도록 하는 기술을 개발했으며, 자사 망연계 시스템 ‘아이원넷’과 연동되는 ‘피시 유알엘 디톡스(i-oneNet PC URL Detox)’ 기능으로 구현했다.
곽병주 신한금투 정보보호본부 상무는 “외부와 분리된 업무망 내에서 외부 인터넷 자료를 가져오기 어려워 업무에 필요한 뉴스 기사와 그래프 이미지, 표 등을 확인하기 어려웠다. 그러나 이미지 파일에 숨어있는 악성코드를 완벽하게 제거할 수 없기 때문에 악성코드가 활동하지 못하도록 하는 기술을 휴네시온과 함께 완성해 업무망에 적용해 업무 편의성과 보안성을 한층 강화했다”며 “향후 이 기술을 인터넷 망에도 적용해 인터넷 망의 보안 수준도 높일 것”이라고 설명했다.
리버스 엔지니어링으로 비실행파일 공격 차단
CDR은 문서에서 액티브 콘텐츠를 제거해 위험한 활동이 발생할 가능성을 없앨 수 있지만, 업무에 필요한 콘텐츠까지 제거하거나 제거되지 않은 악성행위가 존재할 가능성도 있다. 또한 CDR이 지원하지 않는 문서포맷을 사용하는 경우 사용이 제한된다. 특히 문서 폰트에 숨어있는 취약점은 제거하지 못한다는 약점이 있다. 많은 공격이 폰트 취약점을 이용한다는 점에서 CDR의 효과에 의문을 제기하기도 한다.
시큐레터는 문서와 같은 비실행파일에서 리버스 엔지니어링 기술로 악성행위를 찾아내는 ‘MARS V2’ 시스템을 개발해 공급하고 있다. IT보안인증사무국으로부터 CC인증을 획득했으며, MARS가 적용된 ‘시큐레터 이메일(SLE)’, ‘시큐레터 파일서버(SLF)’는 GS 1등급을 획득했다.
임차성 시큐레터 대표는 “CDR이나 행위기반 분석 솔루션으로는 문서에 숨은 악성 행위를 완벽하게 제거할 수 없다. 비실행파일을 이용한 공격은 대부분 공격이 시작되는 트리거를 외부 링크로 연결시키고, 보안 분석이 진행되는 동안 공격 서버와의 연결을 끊는다. 그러다가 공격을 시작해야 할 시점에 서버를 연결하는 방법을 사용한다”며 “이러한 공격에 대응하기 위해서는 리버스 엔지니어링을 통해 트리거를 일으켜 분석하는 시큐레터 기술이 최적”이라고 설명했다.
이어 임 대표는 “APT 대응 솔루션은 샌드박스가 분석하는 5분 이상의 시간이 소요되며, 생산성을 저하시키는 원인이 된다. 시큐레터 기술은 지연 없이 즉시 업무를 가능하게 하기 때문에 망연계 보안 강화를 위해 필수적인 제품”이라고 설명했다.
한편 시큐레터는 하반기 CDR 신제품을 출시하고 비실행파일 기반 공격 방어 능력을 강화할 계획이다. CDR의 액티브 콘텐츠 제거 기술과 시큐레터의 기존 리버스 엔지니어링 분석 기술을 활용해 외부 유입 콘텐츠로 인한 위협에 대응할 수 있다고 강조한다.
SW 위험성 수준 평가해 안전한 SW만 실행
사회공학 기법을 이용해 엔드포인트를 감염시킨 공격자는 랜섬웨어 공격을 위해 파일을 무단으로 암호화하거나 외부와의 비정상적인 통신을 시도하고, 관리자 권한을 탈취해 내부 시스템으로 확장하려는 시도를 보인다. 따라서 엔드포인트 행위 분석 기술을 이용하면 엔드포인트 침해가 네트워크로 확장되는 것을 막을 수 있다. 그러나 엔드포인트 행위 분석 기술은 리소스를 많이 사용하며 오탐이 많아 사용자를 불편하게 한다.
엔드포인트에서 애플리케이션의 화이트리스트 기반 정책 제어를 활용하면 애플리케이션의 이상행위를 원천 차단할 수 있다. 화이트리스트 기술은 매우 높은 수준의 보안을 보장하는 기술이지만, 많은 화이트리스트를 관리하고 수정·변경하는 과정이 복잡하고 어려워 관리자 업무를 증가시키며 실수로 인한 장애와 위협이 더 많아질 수 있다.
위젯누리의 ‘소프트필터’는 소프트웨어 위험성 수준을 평가해 사용자가 안전한 소프트웨어만 사용할 수 있도록 하는 방법으로 화이트리스트 정책을 관리하게 한다. 학습 기간 없이 즉시 사용 가능하며, 소프트웨어의 안정성 등급만을 제공하는 방식이어서 오탐으로 인한 장애 우려도 없다. 애플리케이션을 분석하거나 모니터링하지 않아 엔드포인트 리소스 사용으로 인한 부담도 없다.
최승환 위젯누리 대표는 “소프트필터는 자체 개발한 평가 기준에 따라 소프트웨어 위험도를 산출해 제안하는 방식으로, 오탐과 장애 없이 안전하게 엔드포인트를 관리할 수 있다. 특정 애플리케이션만을 허용하는 공장 제어망 PC, ATM, 주차장 관리 시스템 등에 적합하며, 이미 몇 몇 고객은 제품을 도입해 안정적으로 운영하고 있다”고 말했다.
