[데이터넷] 삼성전자, LG전자, 현대상호중공업 등 국내 글로벌 기업의 잇단 해킹 피해 원인으로 과학기술정보통신부와 한국인터넷진흥원은 ‘계정정보 탈취’를 들고 제로 트러스트 보안 원칙을 수립해야 한다고 강조했다.

잘 알려진 대로 이 사고는 해커들이 악성 이메일, 다크웹 등을 통해 공격 대상 기업 직원의 계정정보를 탈취해 내부망에 침투한 후 중앙서버나 기업 내 업무 프로그램에서 관리가 권한을 획득하는 전형적인 APT 공격 방식을 따르고 있다. 이에 대응하기 위한 제로 트러스트 보안원칙은 업무 시스템에 접근하는 사람이나 기기를 철저히 검증하고 지속적으로 모니터링하는 것이다.

제로 트러스트 원칙을 위해 다양한 보안 프로세스가 필요하지만, 가장 중요한 것은 공격자의 침투 경로를 원천적으로 제거하는 것이라고 할 수 있다. 사용자와 관리자 계정을 철저히 보호해 권한 사용자로 위장한 공격자의 접근을 차단하는 것은 제로 트러스트의 시작이라고 하지만, 다크웹에는 공격에 이용할 수 있는 권한 사용자의 계정이 절찬리에 판매되고 있으며, 이중인증을 우회하는 방법도 쉽게 확보할 수 있다.

따라서 계정 보호를 위한 노력과 함께 공격 가능한 경로를 원천적으로 제거하는 것도 매우 중요하며, 이메일과 웹을 통한 침투 가능성을 차단할 수 있어야 한다. 이 관점에서 제안되는 것이 콘텐츠 무해화(CDR)과 원격 브라우저 격리(RBI)이다.

이메일·문서·웹 무해화로 공격 가능성 원천 제거

CDR은 문서, 이메일, 웹 등에서 공격에 악용될 수 있는 요소를 원천적으로 제거해 안전한 업무 환경을 만들 수 있도록 돕는 기술이다. 특히 대부분의 해킹이 이메일의 악성문서를 통해 진행되기 때문에 모든 문서에서 공격에 이용될 수 있는 액티브 콘텐츠를 제거하는 CDR 솔루션이 각광받고 있다.

체크포인트 조사에 따르면 2020년 한 해 동안 이메일을 통해 유입된 악성파일의 35%가 MS 워드 구 버전(doc)이었으며, 악성실행파일은 23%였다. 2021년 상반기 공개된 MS 오피스 취약점은 23개에 달한다. 이렇게 보안에 취약한 문서와 소프트웨어는 임의코드 실행, 정보유출 공격, 공급망 공격에 사용될 수 있다. 이에 악성문서 공격 선제 차단을 위해 CDR이 필요하다.

공격자는 악성문서 외에도 이메일 악성링크도 사용한다. 예를 들어 상급기관의 협조공문, 협업을 위한 자료라며 드롭박스 링크를 전달하면 아무리 보안 훈련이 잘 된 사람이라도 속지 않을 수 없다. 그래서 임직원을 대상으로 한 교육과 훈련을 진행하는 것도 필요하지만, 공격 가능성을 근본적으로 제거하는 것도 필요하다.

문서보안 전문성으로 CDR 시장 리드

문서를 이용하는 공격은 정상 문서에 악성 매크로나 자바 스크립트 등을 삽입해 문서 매크로를 실행하거나 문서의 특정 지점 이상 읽으면 악성코드가 자동으로 실행돼 사용자도 모르게 감염시킨다. 문서기반 악성코드는 백신은 물론 샌드박스로도 탐지할 수 없다. 그래서 문서에서 공격에 악용될 수 있는 액티브 콘텐츠를 제거해 안전한 문서로 재조합시키는 콘텐츠 무해화(CDR)가 필요하다.

가트너가 2016년 샌드박스를 보완할 기술로 CDR을 소개하면서 시장의 관심이 높아지기 시작했다. 가트너는 2020년과 2021년 발행된 ‘악성 파일 업로드 시 웹 애플리케이션을 보호하는 빠른 해법’ 보고서에서 소프트캠프와 지란지교시큐리티를 언급, 국내 기술의 완성도를 인정했다.

CDR은 액티브 콘텐츠를 제거한 후 원본문서와 동일하게 재조합하는 것이 관건이다. 문서 구조와 악성코드에 대한 이해가 없으면 업무 환경에 영향을 주지 않으면서 악의적인 액티브 콘텐츠를 제거하는 것이 쉽지 않다.

문서에서 액티브 콘텐츠는 가독성과 문서 작성의 편의성을 위해 반드시 필요하다. 수식을 만들고 표를 정렬시키며, 다양한 폰트와 강조, 동영상, 이미지 등을 통해 문서를 직관적으로 이해할 수 있게 하는 다양한 액티브 콘텐츠가 있다. 이를 모두 제거하면 텍스트 파일만 남기 때문에 업무를 볼 수 없다. 업무에 필요한 액티브 콘텐츠를 남겨두었다가 제거되지 않은 공격에 당할 수 있다.

문서보안 전문성을 기반으로 한 CDR 솔루션의 대표 주자가 소프트캠프의 ‘실덱스(SHIELDEX)’ 제품군이다. 실덱스는 국내에서 사용하는 모든 문서 프로그램의 종류, 버전, 각 기업·기관에서 사용하는 문서 양식과 구조를 파악해 실시간에 가깝게 악용되는 액티브 콘텐츠를 제거하고 안전한 문서로 제공한다. 비저블 콘텐츠(Visible Contents)를 추출하고 정합성을 확인해 문서를 재구성함으로써 알려지지 않은 취약점 혹은 패치 되지 않은 CVE를 악용한 문서의 악성 콘텐츠도 차단한다.

실덱스 제품군은 파일이 유통되는 유형에 따라 ▲파일 기반 CDR ‘실덱스 파일(SHIELDEX File)’ ▲메일 기반 CDR ‘실덱스 메일(SHIELDEX Mail)’ ▲외부유입 파일과 패치, USB 등 이동매체를 통한 악성코드 감염을 막는 CDR ‘실덱스 게이트엑스캐너(SHIELDEX GateXcanner)’로 구성된다.

또한 소프트캠프는 RBI 솔루션 ‘실덱스 리모트 브라우저 (SHIELDEX Remote Browser)’를 함께 제공해 웹과 이메일을 이용하는 공격을 원천 차단한다. 이 솔루션은 사용자 경험을 저해하지 않으면서 웹페이지를 격리 환경에서 렌더링 해 보여줌으로써 사용자 불편을 최소화하고 웹을 통한 침해 위협을 원천 차단한다.

전문가 분석 서비스 지원

지란지교시큐리티도 CDR과 RBI 기술을 결합해 제공한다. 지란지교시큐리티는 자체 개발한 CDR 솔루션 ‘새니톡스(SaniTOX)’와 클라우드 가상화 플랫폼 기업 에어코드의 RBI를 결합해 악성문서와 악성 웹을 통한 공격을 막는다.

지란지교시큐리티 ‘새니톡스’는 비정상적인 문서 포맷을 탐지하고, 구성요소를 빠르게 제거한 후 재조합해 원본과 동일하게 제공한다. 무해화 결과에 대한 상세정보를 제공, 유입되는 파일 유형별 통계, 감사 로그, 시스템 현황을 파악할 수 있도록 함으로써 기업의 문서 기반 공격 대응 전략을 수립할 수 있도록 도와준다.

무해화 결과에 문제가 있을 때 전문가의 분석 지원 서비스도 제공한다. 또한 머신러닝을 이용한 위협 탐지 기술을 개발, 시험 적용하고 있으며, 설명가능한 AI(XAI)를 적용한 다단계 악성코드 대응 플랫폼으로 확장시킬 계획이다.

새니톡스는 소호·중소기업을 위한 클라우드형 ‘새니톡스EP’와 기업별 환경에 맞춰 설치 가능한 구축형 ‘새니톡스 어플라이언스’ 두 가지 형태로 제공된다. 새니톡스 어플라이언스를 사용하는 기업 또한 사용자 PC 에이전트 추가 설치가 가능해 보안 운영 방식에 있어 고객의 선택 폭을 넓혔다.

지란지교시큐리티와 RBI 사업을 공동 전개하는 에어코드는 T 커머스 앱 가상화 기술을 제공해 온 기업으로, 빠른 격리 기술과 유연한 UI/UX를 제공해 국내 웹 서비스에 최적화된 가상 브라우저를 제공한다.

CDR·악성코드 분석 기술 결합

CDR은 문서 기반 공격의 위험도를 낮출 수 있지만, 완벽하지 않다. 앞서 언급했던 것처럼 모든 액티브 콘텐츠를 제거할 수 없기 때문이다. 폰트 취약점을 이용하는 공격이라면 CDR로 제거하지 못하고 해당 취약점을 이용하는 폰트를 제거해야 하는데, 그렇게 되면 문서 원본과 달라지고 가독성이 떨어지며 의미가 달라질 수 있다.

시큐레터는 이 점을 강조하며 CDR과 비실행형 악성 코드 분석 기술을 함께 사용해 공격을 차단해야 한다 고 주장한다. 시큐레터는 자동화된 리버스 엔지니어링을 이용한 디버거 분석으로 악성코드를 탐지하는 특화 기술을 갖고 있다. 이 기술은 악성문서를 실행하는 OS와 문서 애플리케이션 프로세스를 디버깅해 CPU 명령어, 레지스터, 메모리 활동을 살펴보고 악성 여부를 진단한다.

시큐레터는 디버깅 기술과 CDR을 결합해 이메일 악성문서, 연계 구간 웹 게시판 등에 이 기술을 적용해 악 성문서를 이용하는 공격을 효과적으로 차단하고 있다고 설명했다. 이 기술은 이미 국내 여러 공공·금융기관과 대기업에 공급되었거나 도입을 검토하고 있다.

예를 들어 최근 공공·금융기관에서 팩스로 수신하던 민원서류를 게시판에 업로드하도록 개선했는데, 그 문서에 악의적인 요소가 있는지 확인하지 못하기 때문에 민원 담당자는 해당 문서를 열람했다가 감염될 가능성이 있다. 시큐레터는 CDR을 이용해 악성 액티브 콘텐츠를 제거하고, 리버스 엔지니어링으로 제거되지 않은 악성코드까지 찾아 제거하며, 원본문서와 동일하게 완성한다.

임차성 시큐레터 대표는 “CDR과 리버스 엔지니어링을 결합한 시큐레터 기술은 이메일 첨부파일 검사, 망연계를 통해 전송되는 데이터, 게시판 업로드 문서, 문서중앙화 등 다양한 곳에서 활용되고 있다. 실시간에 가까운 속도로 처리되며, 정확하게 위험한 요소만 제거하기 때문에 업무에 영향을 주지 않고 안전하게 문서 업무를 지원할 수 있다”고 말했다.

시큐레터 CDR 솔루션 ‘MARS SLCDR’은 1GB 이상 대용량 압축파일도 분석할 수 있고, 위협 등급 체 계에 따라 대응 우선순위를 제공하며, 악성코드 분석 전문가의 전문성을 기반으로 하고 있어 APT 악성문서 공격 원리를 이해하고 정확하게 분석해 대응하는데 뛰어나다.