공격 가능한 요소 사전 제거해 제로 트러스트 원칙 구현
[데이터넷] “해커와의 싸움에서 이기기 위해서는 주도권을 가져야 한다. 해커보다 뛰어난 기술로 유리한 입지를 점령하는 것이 중요하다.”
임차성 시큐레터 대표이사는 ‘차세대 보안 비전 2022’에서 이같이 말하며 “리버스 엔지니어링으로 악성코드를 찾아내는 보안 기술은 아무리 뛰어난 해커라도 우회할 수 없다. 이 방법이 바로 이기는 싸움”이라고 강조했다.
임차성 대표는 ‘새로운 보안 패러다임, 새로운 기술로 대응하라’는 주제로 발표하며, 최근 APT 공격자들이 어떻게 보안 솔루션을 우회하는지, 이를 근본적으로 막을 수 있는 방법은 무엇인지 상세히 설명했다.
악성코드 분석가 전문성 이용 악성코드 탐지
공격에 사용되는 도구인 악성코드는 시그니처나 샌드박스 행위분석을 통해 탐지했다. 이제 공격자들은 시그니처에 없는 기술, 샌드박스를 우회하는 기술을 사용한다. 정상 문서에 악성 매크로를 숨기거나 이메일에 협업 과정에 필요한 자료를 공유한다며 클라우드 스토리지 링크를 보내 악성코드에 감염되게 한다. 이러한 공격은 백신, 샌드박스로 탐지할 수 없으며, EDR, NDR, SIEM 등 감염 후 침해증거를 찾아 분석하는 시스템에 맡길 수 밖에 없다.
시큐레터는 리버스 엔지니어링으로 비실행형 파일의 악성코드를 찾는 기술로 최근 APT 공격을 막는다. 분석가의 기술을 자동화 한 디버깅 기술을 이용해 콘텐츠 취약점을 탐지하고 진단한다. 콘텐츠를 식별하고 구조분석해 위협을 찾아내며, 콘텐츠 무해화·재구성하는 CDR 기술로 문서 기반 공격을 원천 차단한다.
시큐레터의 핵심 플랫폼인 MARS는 어셈블리 레벨 분석으로 악성행위를 일으키는 익스플로잇을 차단하는 특화 기술을 갖고 있다. 매우 빠르고 정확하게 위협을 탐지할 수 있으며, 우회공격도 차단할 수 있다.
CDR 기술은 문서에서 악용 가능한 매크로, 자바 스크립트 등 실행가능한 코드를 사전에 제거하고 안전한 문서로 재구성한다. 공격 가능성을 원천적으로 제거한 제로 트러스트 보안 기술이지만, 문서 구조를 정확하게 알지 못하면 문서의 원본성이 훼손돼 업무에 지장을 줄 수 있다.
시큐레터는 CDR과 어셈블리 레벨 분석 기술을 결합해 한층 안전한 문서 업무를 진행하도록 한다. 문서에서 매크로, 자바 스크립트 등을 제거하되, 문서의 원본성을 해치지 않는 수준으로 진행한다. 그리고 어셈블리 레벨 분석 기술을 이용해 제거되지 않은 취약점을 찾아 제거함으로써 공격 가능성을 없앤다.
43초만에 100% 위협 탐지
시큐레터는 MARS 플랫폼에 파일 보안 제품 ‘MARS SLF’, CDR 제품 ‘MARS SLCDR’, 이메일 보안 제품 ‘MARS SLE’, 구독형 이메일 보안 ‘MARS SLES’, 클라우드 구독형 서비스 ‘MARS SLCS’를 제공한다. 이 제품은 망연계, 문서중앙화, 웹 공용 게시판 등 다양한 사례에 성공적으로 활용되고 있다.
임차성 대표는 “KISA 정보보호 제품 인증 APT 대응장비 성능평가에서 MARS의 위협 탐지율은 100%, TTA 악성문서 진단 성능평가에서 진단속도 43.28초를 기록했다. 이로써 세계에서 가장 빠르고 정확한 비실행형 악성코드 진단 기술을 갖췄다고 자신할 수 있다”며 “MARS는 혁신적인 기술로 모든 산업군, 모든 규모의 조직을 보호할 수 있다. 이 경쟁력이 알려져 국내는 물론 해외 시장에서도 좋은 평가를 받고 있다”고 말했다.
