[데이터넷] 금융보안연구원 통계에 의하면 해킹 공격의 75%가 이메일을 통해 악성코드가 유입된 것으로 나타났을 정도로 이메일은 해킹 공격의 주 통로로 활용되고 있다. 특히 이메일에 첨부된 문서 파일 등은 악성코드가 삽입돼 있는지 알기 힘들어 더더욱 주의가 필요하다.

6일 데이터넷TV가 주최한 ‘제3회 클라우드 보안 인사이트 2021’에서 임차성 시큐레터 대표는 ‘디지털 시대를 위한 사이버 방역, 새로운 기술로 대응하라’를 주제로 이메일 보안을 강화할 수 있는 방안을 소개했다.

임차성 대표는 “기업 보안이 강화되면서 악성코드가 쉽게 내부로 침입하기 어려워졌다. 그러나 메일 서비스 사업자가 쉽게 차단할 수 있는 exe 실행 파일과 달리 문서 파일 등은 업무에 필요한 것일 수도 있는 만큼 모두 차단하기 어렵기에 문서 파일을 활용한 악성코드 침투가 활발히 일어나고 있다”고 말했다.

시그니처·행위 기반 탐지 한계
그동안 악성코드 탐지는 안티바이러스, 안티스팸 등 시그니처 기반 솔루션들이 주를 이뤘다. 그러나 최근 늘어나고 있는 타깃 공격 등은 악성코드를 새로 만들어내기에 시그니처를 보유하고 있지 못하는 경우가 많다.

이를 보완하기 위해 샌드박스 등 행위 기반 탐지 솔루션들도 등장했으나 가상 환경 회피, 시간차 공격 등 우회하는 방안들도 생겨나면서 역시 악성코드 탐지에 허점이 발생하기 시작했다. 특히 메일 서버단에서 바로 차단되는 실행 파일과 달리 이미지나 문서 파일 등에 포함된 악성코드를 탐지하는 것은 더욱 쉽지 않다.

임차성 대표는 “문서 파일 자체가 악성행위를 할 수는 없지만, 문서 내 포함된 매크로, 자바스크립트 등 정상 기능을 이용하기도 하며, 폰트 혹은 표 속성 등의 취약점을 이용한 익스플로잇을 활용하는 공격이 늘고 있다”고 설명했다.

매크로나 자바스크립트는 정상적으로 제공되는 기능이기에 실제 악성행위가 일어나기 전까지 악성코드가 탑재돼 있는지 알기 어지만, 사용자가 주의를 갖고 실행 경고 메시지가 떴을 때 실행하지 않으면 공격을 당하지 않는다.

이를 보완하고자 콘텐츠 무해화 및 재조합(CDR) 기술도 활용할 수 있다. 이들은 매크로나 자바스크립트 등을 제거할 수도 있지만, 문서 원본이 손상되는 경우도 발생해 업무 불편을 초래할 수도 있다는 점이 지적된다.

리버싱 엔지니어링으로 익스플로잇 탐지
실행 파일은 메일 서버단에서 차단할 수 있고, 매크로 등 정상 기능을 이용한 것은 CDR 등을 활용할 수 있지만, 익스플로잇을 이용한 타깃 공격은 시그니처가 없어 기존 탐지 솔루션을 우회할 수 있으며, 매크로도 아니기에 CDR로 제거할 수도 없다.

이에 시큐레터는 문서 파일과 같이 비실행 파일의 악성코드를 리버스 엔지니어링으로 분석해 탐지할 수 있다고 강조한다. 악성코드 분석가들이 어셈블리 레벨에서 악성코드를 진단하는 기술을 활용하는 것으로, 시그니처·행위 기반 탐지 솔루션이 찾아내지 못한 정교한 공격 시도를 찾아낸다.

시큐레터는 비실행 파일을 어셈블리 레벨에서 분석해 악성행위를 찾아내는 ‘MARS’ 엔진을 기반으로 ‘시큐레터 이메일 시큐리티(SLE)’, ‘시큐레터 파일 시큐리티(SLF)’, ‘시큐레터 클라우드 이메일 시큐리티(SLCS)’를 공급하고 있다. 국내뿐만 아니라 해외에서도 서비스 론칭 이후 좋은 반응을 얻고 있으며, 이를 토대로 누적 123억원에 달하는 시리즈 B 투자유치도 완료했다. 시큐레터는 투자금을 R&D에 활용함으로써 제품 고도화를 지속하고 있다.

임차성 대표는 “직원 수가 4000명에 이르는 기업에서 시큐레터의 솔루션을 활용할 경우 중복된 수치를 제외하고 한 달에 약 48건의 악성코드가 침입하는 것을 확인할 수 있었다. 그중 시그니처로 진단되는 것이 8건이며, 알려지지 않은 악성코드가 40건에 달한다”며 “이를 직접 체감한 고객들이 왜 시큐레터의 솔루션을 활용해야 하는지 이해하게 됐다”고 강조했다.

그는 이어 “시큐레터의 솔루션은 한국인터넷진흥원(KISA)이 실시한 APT 성능 평가에서 100% 탐지율을 기록했으며, 진단 속도 역시 평균 43.28초로 알려지지 않은 악성코드 탐지 제품 중 1분 내 탐지가 가능한 유일한 제품”이라고 덧붙였다.

윤현기 기자 다른기사 보기