[데이터넷] 한 중견기업에서 이메일에 포함된 악성코드가 얼마나 되는지 테스트 한 결과, 한 달간 중복파일을 제거하고 시그니처 기반 보안 탐지 솔루션은 8건의 악성코드를 찾아냈지만 시큐레터의 동적탐지 기술은 40건을 찾아냈다. 만일 이 40건의 악성코드가 유입됐다면 이 기업 시스템 어딘가에 잠복해 적당한 공격 시기를 노리면서 조심스럽게 공격을 위한 기반을 다지고 있을 것이다.

만일 이 기업에서 “그 동안 많은 알려지지 않은 악성코드가 들어왔는데, 비즈니스에 전혀 영향을 받지 않았다. 탐지한 악성코드가 실제로는 유해하지 않은 것”이라고 주장하며 알려지지 않은 신종 공격에 대비하지 않는다면 어떻게 될까?

임차성 시큐레터 대표는 “기업이 악성코드에 감염됐다는 것을 알게 되는 시점은 해커가 공격 사실을 알리면서 협박하거나 외부 기관이 통보할 때”라며 “실제 피해가 발생하지 않아도 악성코드에 감염됐다는 사실은 이미 공격이 시작됐고, 피해가 발생하고 있다는 것을 의미한다. 공격자는 탐지되지 않도록 조용히 움직이면서 장기간 공격을 이어간다”고 지적했다.

임차성 대표는 26일 ‘제 20회 차세대 보안 비전 2021’에서 ‘디지털 시대를 위한 사이버 방역, 새로운 기술로 대응하라’ 주제의 세션을 통해 기존 시그니처·행위기반 솔루션의 한계를 언급하며, 새로운 사이버 방역 기술을 제안했다.

그는 “공격이 시작된 후 공격자는 무한대의 가능성을 갖고 공격행위를 한다. 시스템 여러 곳에 공격 거점을 만들고 중요 정보를 수집해 유출하며, 중요 시스템 권한계정을 탈취해 장악하면서 기업 시스템을 공격자 손바닥에 놓는다. 이 과정까지 진행되면 선제방어는 불가능하다”며 “공격이 시작되기 전, 정상 플로우 내에서 해커가 할 수 있는 행위가 별로 없는 단계에서 원천적으로 차단하는 것이 가장 안전하다”고 강조했다.

정상 프로세스 이용하는 공격 차단해야

시큐레터는 비실행형 파일에서 악성행위를 일으키는 트리거를 찾아 분석하고 차단하는 솔루션을 제공한다. 어셈블리 레벨에서 리버스 엔지니어링 분석으로 악성 여부를 정확하게 판단하며, 악성코드 분석가의 분석기법을 자동화했다.

시큐레터의 악성코드 진단 방법의 구체적인 사례를 설명한다면, 아크로뱃 리더가 2바이트의 문서를 읽도록 설정했는데, 해커가 PDF를 조작해 2바이트 이상 문서를 넣는다. 이크로뱃 리더에서 이 문서를 읽으면 아크로뱃 리더가 장애를 일으키며 다운시키고 비정상 종료를 안내하는 메시지를 준다. 공격자는 이 메시지에 악성 쉘코드를 삽입해 종료 메시지 실행시 악성 쉘코드도 실행된다. 시큐레터의 악성코드 진단분석 엔진인 MARS는 CPU 레지스터에서 익스플로잇 원인을 진단해 악성 행위가 시작되기 전에 악성/정상 여부를 파악하고 조치를 취한다.

임차성 대표는 “공격자는 실행파일 형태의 악성코드를 직접 유입시키는 것이 아니라 비실행형 파일에 정상 기능, 정상 프로세스를 이용해 악성행위를 일으킨다. 실제 악성행위가 시작되기 전에는 정상 프로세스 안에서 진행되는 비정상 행위를 알아내지 못한다”며 “시큐레터 MARS 엔진은 어셈블리 레벨에서 분석해 정상 프로세스 내의 비정상 행위를 정확하게 찾아낼 수 있다”고 설명했다.

43초만에 알려지지 않은 위협 분석

시큐레터는 실행파일이 아니라 문서와 같은 비실행형 파일에만 집중한다. 현재 실행파일 형태의 악성코드는 거의 대부분 선제 차단을 원칙으로 한다. 망분리 환경이나 기업의 메일 보안 정책은 물론이고 웹메일도 EXE 첨부파일은 기본 차단한다. EXE 파일이지만 확장자를 바꿔 문서파일인 것처럼 보이게 하는 수법도 사용하지만, 이 역시 EXE 파일이기 때문에 대부분은 차단되고 사용자에게 도달되지 않는다.

거의 대부부의 공격에 사용되는 것은 문서, 이미지 등 비실행형 파일로, 정상 업무와 연관된 내용, 상급기관의 공문서, 신뢰할 수 있는 사이트에서 발송된 문서 등을 위장한다. 예를 들어 공공기관의 민원 게시판에 민원 관련 서류가 업로드 된 것을 보고 담당자가 이 문서를 내려 받아 감염될 수 있다. 담당자는 민원처리를 위해 민원인의 증빙자료를 반드시 확인해야 하기 때문에 위장된 내용을 이용한 공격을 선제적으로 막기 어렵다.

비실행형 파일을 이용한 공격은 시그니처 기반 보안 솔루션은 물론이고, 샌드박스 행위기반 솔루션으로도 차단할 수 없다. 시그니처에 없는 악성행위를 하며, 샌드박스 가상환경을 인지해 우회하고, 특정 버전의 문서, 특정 폰트나 표 등의 취약점을 이용해 샌드박스가 정확하게 그 조건에 맞는 환경에서 분석하지 않으면 작동하지 않는다.

또 샌드박스는 파일을 실행시키고 5분~20분 기다리면서 악성행위가 일어나는지 여부를 확인하는데, 파일 실행 후 3시간 후 악성행위가 일어나도록 설정했다면 샌드박스에서는 이 위협을 탐지하지 못한다. 또한 샌드박스 분석에 꽤 오랜 시간이 걸리기 때문에 업무 생산성에 지장을 준다. 특히 망분리 환경에서는 자신의 인터넷망에서 업무망으로 문서를 전송하는 것이 대부분인데, 전송 때 마다 5분 이상 기다려야 해 상당히 불편하다.

임차성 대표는 “시큐레터는 비실행형 파일의 어셈블리 레벨을 분석하기 때문에 43초만에 위협 분석을 완료한다. 샌드박스 기반 악성코드 진단 솔루션 중 1분 이내에 분석을 완료하는 곳은 시큐레터 뿐이다. 시큐레터는 빠르고 정확하게 악성행위를 진단할 수 있다”고 자신했다.

CDR·리버스 엔지니어링으로 사이버 방역 시행

시큐레터는 비실행형 파일을 이용한 공격 유형을 크게 두 가지로 나눠 설명한다.

첫째는 문서의 정상 기능을 이용한 것으로, 매크로, 자바스크립트 등을 삽입해 문서를 열고 매크로를 실행시키면 악성 행위가 일어나도록 한다. 이 공격은 콘텐츠 무해화(CDR) 솔루션으로 방역 시스템을 만들 수 있다. CDR은 문서에서 매크로·자바스크립트 등 실행가능한 요소를 제거하고 깨끗한 새 문서로 재조립함으로써 공격 가능성을 원천적으로 제거한다.

두번째 유형은 익스플로잇을 이용하는 것이다. 주로 문서 편집 애플리케이션의 특정 버전, 특정 폰트, 표 등에 포함된 취약점을 이용하며, 사용자가 어떤 행위를 하지 않아도 악성행위가 자동으로 실행된다. 만일 CDR을 이용해 이 취약점을 모두 제거한다면 문서의 모든 속성과 편집을 제거하고 텍스트 파일로 만들어야 한다. 그렇게 됐을 때 업무를 정상적으로 진행할 수 없게 될 수 있다. 또 CDR이 제거하지 못한 취약점도 있을 수 있다.

시큐레터는 CDR과 리버스 엔지니어링을 이용한 악성코드 분석 기술로 비실행형 파일을 이용한 공격을 근본적으로 제거한다. 구축형 솔루션으로 공급할 수 있으며, 클라우드를 이용해 편리하게 사이버 방역을 진행할 수 있다.

크리니티, 모니터랩 등 국내 여러 보안 기업들과 협력해 웹·이메일을 통한 위협을 차단하며, KT AI 위협 분석 플랫폼에 적용돼 피싱·스캠 등을 선제 차단할 수 있도록 지원한다.

임 대표는 “임직원에게 이메일, 문서 등을 이용한 공격에 주의할 것을 강조하고 모의훈련을 통해 보안 습관을 만드는 것도 중요하지만, 공격에 악용될 소지가 있는 것을 원천 차단해 직원들이 보안에 대한 걱정 없이 일하도록 만드는 것이 더 효과적”이라며 “시큐레터의 독창적인 악성코드 분석 기법과 완성도 높은 CDR 기술을 이용해 업무 생산성을 높일 수 있을 것”이라고 말했다.

해외 진출 속도 내며 글로벌 기업으로 성장

시큐레터는 2015년 설립된 스타트업이지만, 설립 초기부터 해외시장을 적극 공략해 사우디아라비아 정부투자기관 등으로부터 총 800만달러(99억원) 규모의 시리즈B 투자유치를 완료했다. 시리즈 A·B를 통해 국내외 투자기관으로부터 유치한 자금이 125억원에 이르며, 이 자금을 바탕으로 지속적인 기술개발을 단행하고 있고, 국내외 해외 여러 고객에게 솔루션을 공급하고 있다.

임차성 대표는 법인 설립과 동시에 해외 진출을 시작한 이유로 “악성코드는 국가·지역을 구분하지 않기 때문”이라고 설명했다.

그는 “전 세계 모든 조직이 이메일을 사용하고 있는데, 거의 대부분의 초기 침투는 이메일 내 악성 URL이나 악성 파일을 이용한다. 이는 전 세계 모든 기업·기관이 겪고 있는 문제”라며 “이메일에 첨부된 신뢰가 확인되지 않은 첨부파일은 선제 차단하고, 비실행형 파일은 시큐레터의 보안 분석 기술로 분석해 대응하면 많은 보안 사고를 조기에 제거할 수 있다”고 말했다.

이어 임 대표는 “시큐레터는 전 세계에서 가장 빠르고 정확하게 비실행형 파일 악성코드를 차단하는 기술을 갖고 있다. 이 기술을 더욱 발전시켜 고객을 사이버 위협으로부터 보호하고, 전 세계가 안전한 사이버 공간을 이용할 수 있도록 한다는 비전을 갖고 있다. 어셈블리 레벨에서 악성코드를 진단하는 알고리즘 개선에 기여할 수 있는 인재라면 언제든 시큐레터에 합류해 세계를 보호하는 역할을 함께 하기 바란다”고 덧붙였다.