[데이터넷] CDR은 다양한 문서 파일의 구조를 파악하고 있어야 하며, 여러 문서 프로그램에 대한 전문성이 있어야 완성도 높은 수준의 기술을 구현할 수 있다. 오피스 문서 뿐 아니라 각종 설계도면, 각 기관에서 사용하는 독특한 문서 프로그램 등 다양한 문서 형태에 대한 전문성을 가져야 한다.

문서의 오브젝트별로 해체한 후 분석해 깨끗한 문서로 만들 때 원본문서와 동일한 형태로 재조합해야 하는데, 문서 구조를 정확하게 파악하고 있지 않으면 원본 문서와 다르게 조립돼 업무에 지장을 줄 수 있다.

CDR은 문서에서 악성 행위에 이용될 수 있는 액티브 콘텐츠를 모두 제거하는 것을 원칙으로 하는데, 업무에 필요한 매크로 등 양성 콘텐츠에 대한 예외 처리를 제대로 하지 않으면 업무에 영향을 주거나 위협을 제거하지 못할 수 있다. 예를 들어 스테가노그래피 기법을 이용해 이미지 파일에 악성코드를 삽입할 수도 있지만, 저작권 정보 등을 삽입할 수도 있다. 이미지에 숨어있는 콘텐츠가 악성인지 아닌지 판단하고 업무에 필요한 정보라면 제거하지 않도록 예외처리 할 수 있어야 한다.

무해화 처리 후 해당 파일이 제대로 작동하지 않는 경우도 있다. 무해화된 문서 파일이 열리지 않거나 정보가 왜곡되거나 변형되어 업무에 사용하지 못하는 경우도 발생한다. 예를 들어 문서 내에 외부 이미지를 첨부했다면 실제 문서 오브젝트를 분석하면 해당 이미지는 URL만 첨부된 상태로 완성된다. CDR을 통해 URL을 제거하면 해당 이미지가 사라지기 때문에 원활한 업무 수행에 방해가 될 수 있다. 따라서 CDR 기술의 완성도를 살펴보는 것도 중요한 일이다.

이상준 지란지교시큐리티 이사는 “CDR은 문서에서 액티브 콘텐츠를 제거하는 것보다, 원본문서와 동일하게 재조합하는 것이 더 어려운 일이다. 무해화 된 문서가 열리지 않거나 원본과 다른 형태로 조합돼 업무를 제대로 진행할 수 없다면 CDR 도입에 회의를 갖게 될 것”이라며 “CDR은 사용자 경험을 유지하는 것이 가장 핵심 기술”이라고 설명했다.

문서 기반 공격 전문성 축적

지란지교시큐리티의 ‘새니톡스’는 자체 개발한 CDR 엔진을 사용하며, CDR을 통해 제거된 콘텐츠에 어떤 악성요소가 있는지 보여주는 리포트를 제공해 CDR 도입 효과를 증명하고 오탐·미탐 요소가 있는지 확인해준다. 지란지교소프트가 공급하는 이스라엘의 악성코드 분석 엔진 ‘사이렌’과 연동해 악성코드 전문성을 결합한 무해화 기술을 제공한다.

지란지교시큐리티는 CDR을 통해 제거한 악성요소에 대한 위험도를 분류하고 문서기반 공격에 대한 위협 인텔리전스를 만들고 있다. 정부 지원 과제로 진행하는 이 프로젝트는 문서기반 공격의 추이와 위험도, 공격그룹 분류 등에 위협 인텔리전스를 활용할 수 있도록 한다.

나아가 머신러닝 기술을 이용해 문서기반 공격 형태를 지능적으로 탐지하고 선제 대응하는 기술도 개발하고 있다. 공격자들이 이용하는 오피스 문서 취약점은 대부분 사용자가 외부 링크를 클릭하거나 매크로를 실행하도록 유도한다. 사용자의 추가 행위를 유도하는 공격 형태를 분석해 문서에 해당 내용이 포함돼 있으면 자동으로 인식해 사용자에게 주의를 주는 방법을 연구하고 있다.

이상준 이사는 “지란지교시큐리티는 CDR 솔루션을 공급하면서 문서 기반 공격 대응에 특화된 인텔리전스를 완성해나가고 있다. 이를 사이렌 등 위협 인텔리전스와 연동해 진화하는 공격 대응 역량을 한층 높일 수 있을 것으로 기대한다”며 “문서 기반 공격 대응 전문 역량을 높여 글로벌 시장 진출에 박차를 가할 것”이라고 말했다.

새니톡스는 단독 어플라이언스나 SDK로 제공되며, 메일 보안 솔루션 ‘스팸스나이퍼’, 문서중앙화 솔루션 ‘다큐원’에 탑재돼 공급되기도 하며, 공공기관과 국방, 엔터프라이즈 다수에서 사용하고 있다.

문서 전문성 기반 CDR 기술 제공

국내에서 가장 먼저 CDR 솔루션을 완성해 제공해 온 소프트캠프는 ‘문서 전문성’을 앞세워 경쟁사보다 월등히 높은 수준의 기술 성숙도를 보장할 수 있다고 강조한다. 소프트캠프는 20여년 동안 엔드포인트에서 동작하는 DRM을 공급해왔으며, 모든 문서 파일에 대한 높은 수준의 전문성을 갖고 있다고 강조하다.

경쟁사에 비해 월등히 많은 종류의 문서 프로그램을 지원하며, 대규모 환경에서도 안정적으로 운영되는 CDR 공급 성공사례를 다수 확보하고 있다. 가장 강력한 보안이 요구되는 공공기관 다수에 공급됐으며, 대형 은행에서도 수년간 안정적으로 사용하고 있다.

소프트캠프 ‘실덱스’는 ‘제로 트러스트’ 모델을 구현한 CDR이라고 강조한다. 외부 유입 문서에 포함된 액티브 콘텐츠의 악성 여부를 판단하지 않고 모두 다 신뢰하지 않는다는 원칙으로 접근한다. 화면에 보이는 것만을 추출해 재조합함으로써 CDR이 추구하는 이상을 실현했다고 강조한다.

배환국 소프트캠프 대표이사는 “CDR을 통해 제거된 악성 요소를 분석해 문서기반 공격의 추이를 살펴보는 것은 의미 일이며, 악성코드 분석 전문 조직이라면 시도할만한 가치가 있다”면서도 “그러나 문서 기반 공격은 수시로 공격 방식이 바뀌고 있기 때문에 공격 패턴을 분석하고 시나리오를 만드는 것이 보안에 큰 도움이 된다고 보지 않는다. 악성코드 분석은 CDR 솔루션 기업의 전문성과는 거리가 있다. CDR은 문서에 악성 요소가 있든지 없든지 판단하지 않고, 안전성이 검증된 것만을 조합해 ‘제로 트러스트’ 보안 모델에 입각한 무해화를 수행하는 것이 가장 중요하다”고 밝혔다.

소프트캠프 ‘실덱스’는 문서 무해화 뿐 아니라 실행파일을 무해화하는 기능도 일부 제공한다. 이 기술은 실덱스 초기 버전에서부터 제공해 온 것인데, 외부에서 유입된 파일이 정상 행위에서 벗어나는 시도를 하면 이를 무력화하는 기능이다. 이 기술을 이용해 최근 국내 대형 금융기관이 해킹 시도를 사전에 인지하고 차단한 사례가 공개되면서 금융권을 중심으로 많은 관심을 받고 있다.

더불어 격리 기술을 적용해 이메일이나 문서 파일 내에서 외부 링크로 연결해야 하는 경우 격리된 가상환경에서 연결해 보여줌으로써 외부 웹사이트를 통해 악성코드가 다운되지 않도록 지원한다.

글로벌 CDR 솔루션 국내 시장 공략

초기 CDR은 단순히 파일을 변환해 위협을 막는 파일 정화(Sanitization) 수준이었으나 이후 파일을 재구성해 파일 내 오브젝트 중 상위 레벨만 재구성해 위협을 차단하는 파일 플래트닝(flattening)으로 발전, 현재 하위 오브젝트까지 재구성해 원본파일의 기능성을 완벽하게 복원하는 CDR로 발전했다. 소프트와이드시큐리티는 이스라엘의 CDR 전문 기업 보티로가 이 기능 수준으로 완성된 솔루션을제공한다고 강조한다.

보티로는 파일 타입을 확인해 가짜 파일을 차단하고, 멀티 백신 스캐닝으로 시그니처 기반의 알려진 위협을 차단하며, 파일을 오브젝트 단위로 분해해 파일을 구성하는데 불필요한 요소를 모두 제거해 알려지지 않은 위협을 원천 차단한다. 분해된 오브젝트를 재건해 파일의 무결성과 기능성을 복원하기 위한 재구성한다.

보티로는 글로벌 CC 인증을 획득했으며, 가장 많은 파일 타입을 지원하고, 빠른 속도를 보장하며, CDR 적용 전 원본파일로 복원을 지원한다. 국내에서는 다수의 금융기관과 공공기관, 엔터프라이즈, 미디어 등 다양한 산업군을 대상으로 개념검증을 진행하고 있다. 국내 VAN사는 보티로를 이용해 고객 이메일 서버로 수신되는 모든 파일을 정화해 안전한 파일만 클라이언트에 제공하고 관리자는 이력을 조회하고 있다.

인섹시큐리티는 CDR 기술이 탑재된 멀티백신 엔진 ‘메타디펜더’의 GS 인증을 획득하면서 공공시장 공략에도 나섰다. 메타디펜더는 파일 무해화와 살균 기능이 제공되어 문서 파일 내에서 악성 액티브 콘텐츠와 익스플로잇을 제거하며, 위험도가 높은 파일은 살균 과정을 거쳐 위협 요소를 제거한 안전한 파일만을 유입시킨다.