[데이터넷] 사이버 공격은 그 범위가 갈수록 넓어지고 있으며, 보안 시스템을 피해갈 수 있는 기법도 나날이 진화하고 있다. 시그니처, 행위 기반 보안 솔루션만으로 이러한 지능형 보안 위협에 대응하기엔 역부족이다.

시큐레터는 시그니처, 행위 기반 보안 솔루션의 대응 취약점을 보완하고 리버스 엔지니어링을 통 해 악성코드 공격을 근원적으로 탐지하는 솔루션을 제공함으로써 지능형 보안 위협을 사전 방어한다. 특허 받은 자체 기술력을 바탕으로 정적 분석, 동적 분석, 상세 분석에 사용되는 다양한 진단 기술을 통해 빠르고 정확하게 보안위협을 진단할 수 있어 보안 사각지대 해소에 효과적이다.

지능형 위협분석·CDR·디버거 분석으로 알려지지 않은 위협 차단

시큐레터의 MARS 플랫폼은 시그니처 기반 솔루션과 행위 기반 보안 솔루션의 단점을 극복하고, 디버거 분석, 즉 자동화된 리버스 엔지니어링 기술을 적용해 콘텐츠의 알려지지 않은 악성 코드를 찾아낸다. MARS의 특징은 다음과 같다.

• 위협 분석: 콘텐츠를 식별하고 구조를 분석하는 자체 진단 분석 노하우와 함께 시그니처 조회, 실행(PE) 파일 진단 등 응용 노하우가 축적돼있다.
• 콘텐츠 무해화(CDR): 액티브 콘텐츠를 식별·분석, 제거, 재구성하는 기술로, 제로 트러스트를 구현한다.
• 디버거 분석: 자동화된 리버스 엔지니어링 기술로 콘텐츠의 취약점을 탐지하고 진단한다. 단순하지만 분석가의 기 술이 자동화된 핵심 기술이다.

이메일·파일·문서 숨은 위협 제거

MARS 플랫폼에 탑재된 시큐레터 솔루션은 콘텐츠 또는 비실행형(Non-PE) 파일이 수집, 저장, 활용되는 모든 구간에서 선제적인 보안 위협에 정확하고 빠르게 대응한다. 전자 금융감독규정시행세칙과 ITSS APT 대응 표준에 부합하며 중소기업벤처부 우수연구개발 혁신제품으로도 선정돼 품질과 성능을 검증받았다.

• 이메일 보안 ‘MARS SLE': 이메일 보안 솔루션 ‘MARS SLE’는 이메일로 유입되는 보안 위협을 탐지·차단하는 솔루션이다. 이메일로 유입되는 비실행형 파일 형태의 보안위협에 특화된 기술로 알려지지 않은 공격까지 사전에 탐지해 방어한다.
  ‘MARS SLE’는 구독형 서비스 ‘MARS SLES’로도 제공된다. 상용 이메일 솔루션·클라우드 이메일 서비스와 연동이 가능해 이메일 시스템 변경 없이 신속하게 구축·적용할 수 있다. 제품 구매 없이 서비스 형태로 이용할 수 있어 초기 도입비용 부담 없이 중소기업에서도 사용할 수 있다. 중소기업의 경우 ‘비대면 바우처 플랫폼 사업’과 ‘ICT 중소기업 정보보호 지원사업’에서도 해당 서비스를 신청할 수 있다.
• 파일 보안 ‘MARS SLF’: 파일 보안 솔루션 ‘MARS SLF’는 파일이 유입되는 모든 구간에서 보안 위협을 탐지·차단한 다. 파일을 주고받는 모든 환경에서 의심하기 힘든 비실행형 문서 파일로 침입하는 콘텐츠 매개형 보안 위협과 악성코드를 사전에 탐지·차단한다. 망분리 환경에서 망연계 연동, 문 서 중앙화 솔루션 연계, 웹 공용 게시판 등의 파일 업로드 구간 등의 보안에 최적화돼 있다.
  내부 네트워크로 유입되는 파일 및 스토리지 및 저장 파일에 대한 악성코드 감염 내역 진단·차단, 용량 제한 없는 파일 검사 등을 진행하며 악성 코드 탐지 후 관리자에게 알람을 보내고, 직관적 관리 보고서도 제공해 효율적으로 보안 위협을 제거하고 관리할 수 있다.
• 콘텐츠 무해화 ‘MARS SLCDR’: 콘텐츠 무해화 솔루션 ‘MARS SLCDR’는 CDR 기술과 리버스 엔지니어링 악성코드 분석 기술을 결합해 독자적으로 개발한 차세대 CDR이다. MARS SLF에 애드온 형태로 제공하며 문서에서 포함된 URL이나 매크로, 자바스크립트, 셸코드 등의 액티브 콘텐츠를 식별해 실행 가능 한 요소를 제거한 후 깨끗한 새 문서로 재조립함으로써 공격 가능성을 원천 차단한다.

공공기관 A, 민원 게시판 정보보호체계 강화

시큐레터의 보안 제품과 솔루션은 웹·이메일을 통해 유입 되는 문서의 악성행위를 찾는데 특화돼 있다. 대부분의 업무가 웹과 문서를 통해 진행됨에 따라 사이버 공격도 실행 파일이 아니라 비실행 파일(문서 파일) 중심으로 웹·문서 취약점을 이용해 악성코드를 실행시키는 공격 방식으로 변화되고 있으며, 클라우드 환경에서도 보안 취약점을 노리는 공격이 급증하고 있다.

특히 정부·공공기관은 페이퍼리스 환경 도입으로 전자문서 유통이 활발해졌으며, 대부분의 공공기관이 민원 서류를 팩스로 받지 않고 웹사이트 게시판을 이용하도록 안내함에 따라 이를 이용한 공격도 늘어나고 있다.

공공기관 A의 경우 시큐레터의 파일 보안 구축형 제품 ‘MARS SLF’를 웹사이트 내 민원 서비스 게시판에 도입해 랜섬웨어를 비롯한 각종 악성코드로부터 인프라 서비스를 보호함으로써 정보보호체계를 강화했다.

게시판 업로드 문서 악성코드 탐지·차단

A기관의 민원 서비스는 민원 처리를 위해 전국민을 대상으로 웹사이트 내 게시판에 신청서와 증빙 문서 파일을 업로드하는 방식으로 운영되고 있다. 서비스 특성상 불특정 다수가 문서를 업로드하기 때문에 민원 게시판에 단 1건이라도 악성파일이 유입돼 실행된다면 그 파급력은 기관을 넘어 전 국민에게 미칠 수 있는 상황이었다.

웹사이트를 보호하는 보안 장비도 없고 민원 처리 과정이 ‘게시판에 파일이 업로드 되면 WAS 서버가 이 파일을 받아 기관 내부의 업무처리시스템에 저장한 후, 업무 담당자가 해당 파일을 열어서 확인하는 절차’로 진행되기 때문에 악성코드 공격에 쉽게 노출될 수밖에 없어 보안에 매우 취약한 환경이었다.

이에 A기관은 안전한 민원 서비스를 제공하기 위해 민원 서비스 게시판에 업로드 된 문서 파일의 악성코드를 신속·정 확하게 탐지해 차단하고자 시큐레터의 MARS SLF를 도입했다.

문서 파일 특화 보안 기술 도입

A기관은 시큐레터의 MARS SLF를 도입하게 된 이유로 ▲PDF, MS 오피스 파일 등 문서 파일(비실행 파일)에 특화된 보안 기술 ▲문서중앙화 환경에 저장되기 전 악성코드 사전 탐지·차단 ▲타 보안 솔루션 대비 빠른 진단 속도 및 높은 진단율 ▲용량 제한 없는 파일 검사 진행 ▲기존 샌드박스 기반 솔루션의 취약점 극복 ▲악성코드 탐지 후 관리자 알람 및 직 관적 관리 보고서 제공 등을 꼽았다.

A 기관 정보보안부 담당자는 “민원 서비스 게시판의 경우 이용자가 악성파일을 의도적으로 업로드하는 사례도 있지만, 자신이 작성한 문서가 악성코드에 감염된 줄 모르고 업로드하는 경우도 적지 않다”며 “다양한 보안 솔루션을 비교·분석한 개념증명(PoC) 결과, MARS SLF는 ‘알려지지 않은 악성코드에 대한 분석·진단율’이 타사 대비 월등히 탁월해 타사 CDR 솔루션이 진단하지 못한 악성코드까지 진단하고 위협 요소를 정확하게 제거한다는 점이 인상적이었다”고 말했다.

그는 이어 “A의 민원서비스는 대국민 서비스이기 때문에 민원 서비스의 접속 지연이나 장애에 굉장히 민감하다”며 “MARS SLF가 문서 파일의 악성코드 분석 시 민원인의 파일 업로드 과정에서는 정적 분석을 실시하고, 업로드 된 파일이 서버에 저장되기 전인 사후 처리 과정에서는 동적 분석을 실시하기 때문에 타사 제품에 비해 진단 속도가 빠르다. 또한 MARS SLF와 함께 통합관리 서버, MARS SLM을 구축해 서 비스 지연 없이 안정적인 민원 처리가 가능하도록 했기 때문에 이미 도입한 민원 서비스 게시판 외 다른 서비스 게시판에도 추가 도입할 계획”이라고 덧붙였다.