[기고] 문서 유해 요소 제거해 APT·랜섬웨어 방어
상태바
[기고] 문서 유해 요소 제거해 APT·랜섬웨어 방어
  • 데이터넷
  • 승인 2017.09.05 14:36
  • 댓글 0
이 기사를 공유합니다

CDR, 문서 구조 분석 후 안전한 콘텐츠만 재조합 … 보안 솔루션 탐지 못하는 지능형 공격 방어
권정혁 소프트캠프 이사

전 세계는 사이버공격으로 인해 많은 피해를 입고 있다. 악성코드를 이용한 APT, 랜섬웨어 등 사이버공격의 규모와 범위가 점차 커지고 있다. 한국인터넷진흥원의 2016년 ‘사이버 위협 동향 보고서’에 따르면, 사이버공격의 주된 무기로 사용되는 악성코드가 유입되는 경로로 인터넷이 67%, 이메일이 24%의 비율을 보였으며, 특히 이메일은 워드, 엑셀, 한글 PDF 등 문서형식으로 첨부된 악성 문서파일이 70% 였다. 즉 공격 수단으로 문서형 악성코드를 주로 이용하고 있는 것이다.

문서형 악성코드를 이용한 가장 위협적인 사이버공격은 랜섬웨어다. 랜섬웨어는 주로 이메일, USB, 인터넷 등 외부 경로를 통해 유입되는 첨부된 악성 문서나 파일을 통해 감염된다. 계약서, 고소장, 이력서, 배송안내 등으로 위장한 형태로 문서형 악성코드가 유포되는데, 이 파일을 열어보는 순간 감염된다.

가장 위협적인 사이버 공격 중 하나로 손꼽힐 정도로 랜섬웨어는 사전 탐지가 어렵고, 일단 공격을 받으면 속수무책으로 당할 뿐 아니라, 중요 데이터를 훼손당한다는 점에서 개인/기업에게 매우 치명적인 사이버공격이다. 한 번 감염되면 4분 만에 3만여 개의 파일이 손상될 정도로 매우 빠르게 실행되며, 네트워크를 통해 PC·노트북 등 엔드포인트 장치와 서버를 감염시키고, 네트워크상에 있는 스토리지 매체도 단숨에 감염시킨다. 사이버테러라 불릴 만큼 무서운 파괴력을 갖고 있다.

최근에는 사회공학기법을 추가한 문서형 악성코드가 증가하고 있는 추세이다. 공공기관을 공격하기 위해 한컴오피스의 HWP 취약점과 사회공학적인 이메일을 이용한 형태로 공격이 이뤄지고 있다. 문서형 악성코드는 주로 어플리케이션의 제로데이 취약점을 이용하기 때문에 사전에 탐지하기 어렵다. 이처럼 악성코드는 문서형식으로 은닉과 위장, 우회 등을 통해 외형적으로 잘 구분하지 못하도록 점차 지능화되고 있다.

시그니처·행위기반 기술, 고도화된 공격 대응 어려워

악성문서를 이용하는 사이버 공격을 방지하기 위해 시그니처 기반 탐지 기술과 행위 기반 분석기술이 사용됐다.

시그니처 기반 분석기술은 가장 전통적인 방법으로 기존에 발견된 악성코드를 시그니처와 비교해 해당 시그니처에 해당되는 경우 이를 악성코드로 분석하는 방식이다. 악성코드 패턴을 갖고 비교하는 방식을 사용하며, 이미 알려진 위협에만 효과가 있다는 단점이 있다.

행위기반 분석기술은 행동을 감시해 해당 프로세스가 악성코드인지 여부를 결정해 탐지하는 방식이다. 격리된 가상환경에서 행동 패턴으로 악성코드를 분석해 공격이 일어나지 않으면 악성코드로 분류하지 않는 분석 방법인데, 이 또한 행위 패턴에 대한 블랙리스트 방식으로 이미 알려진 행위 패턴에 대해서만 그 효과를 발휘하는 한계를 갖고 있다.

위 두 방식 모두 악성코드를 검출하는 데에만 초점을 맞추고 있으며, 전문가 분석을 기반으로 한 것이어서 제로데이 공격과 같이 알려지지 않거나, 지속적으로 고도화돼 변화하는 공격을 예측하고 선제적으로 대응하기 어렵다.

<표> 기존 방식과 CDR 기술의 차별점

이런 한계를 보완한 기술로 CDR(Content Disarm & Reconstruction)이 주목 받고 있다. CDR은 외부에서 유입되는 모든 문서 콘텐츠를 무해화(無害化)한 후 안전한 요소만 재구성해 유입시키는 기술이다. 문서를 재구성하는 방식인 비저블 콘텐츠(Visible Contents) 추출 과정을 통해 악성코드가 숨겨진 은닉 요소를 제거한다. 기존의 악성코드 탐지 방식과 달리 문서구조 분석방식을 사용하며, 문서형 악성코드 대응에 최적화 돼 있다.

CDR 기술은 외부유입 경로인 이메일/인터넷/USB 등을 통해 들어오는 모든 악성 문서파일에 적용된다. 문서를 근본적으로 재구성해 문서 내 악성코드 정보를 원천적으로 제거하기 때문에 알려지지 않은 공격, 분석 사례가 없는 공격, 탐지의 우회 등 다양한 경우의 공격에 대응할 수 있다. 파일이 이러한 공격을 은닉, 위장, 우회 등을 하지 못하도록 눈에 보이는 정보만으로 구성해 파일을 무해화하는 기술이다.

텍스트, 도형, 그림, 표 등 문서의 모든 비저블 콘텐츠 요소의 구조를 검사한 후, 검증된 요소만 추출해 파일을 재구성하며, 재구성된 파일은 원본파일 형식을 그대로 유지하면서 안전한 내용물로만 만들어진 깨끗한 파일로 재탄생하게 된다.

<그림 1> CDR 개념도

비유하자면, 공항에서 출입통제 시스템으로 승객이 칼, 총, 스프레이 등 유해한 무기를 갖고 있는지 검색한 후 안전한 물건만 갖고 비행기에 탑승하도록 하듯, CDR 엔진을 통해 유해한 것들을 모두 걸러내고 안전한 콘텐츠만 내부망으로 들여보낸다.

만약 콘텐츠 내에 악성코드가 있을 경우 추출 과정에서 원천 차단되기 때문에 신규 악성코드나 제로데이 공격 등에 선제적으로 대응 할 수 있으며, 악성파일이 내부의 중요 자산으로 접근할 수 없도록 차단해 준다.

문서구조 분석 후 안전한 콘텐츠만 조합

CDR 기술은 문서구조 분석방식으로 구현 되는데, 그 과정은 <그림 2>와 같다.

<그림 2> 문서구조 분석방식 개념도

우선 문서 포맷 확인(Format Verification)을 통해 대상 문서의 포맷을 확인한 뒤 지원하지 않는 확장자일 경우 차단하며, 문서의 확장자와 실제 문서 포맷 구성이 다른 경우에도 확장자 위변조로 판단해 반입 차단 한다.

다음 단계는 문서 구조 분석(Structure Analysis)으로, 문서구조가 일반적인 문서형태와 다르거나 비정상적인 콘텐츠가 포함된 경우 비정상 콘텐츠를 제거하거나 파일 자체를 원천 차단한다.

이후 구성요소 추출 및 검증(Component Extraction) 과정을 통해 문서 내 악성코드가 삽입될 가능성이 있는 매크로, 액티브X, 스크립트, 임베디드 오브젝트 등을 추출해 제거하고, 콘텐츠 추출이 정상적으로 이뤄지지 않는 경우 반입을 차단한다.

마지막 단계는 재구성 및 검증(Reconstruction Verification)으로, 악성코드가 없는 깨끗하고 안전한 콘텐츠로만 문서를 재조합하며, 원본과 동일한 포맷의 문서파일로 재구성해 내부로 반입한다.

CDR 기술은 문서재구성(무해화, Sanitization)을 기반으로 설계 돼있으며, 전자문서 내 악성코드를 제거함으로써 외부에서 유입된 문서로 인해 내부 PC가 오작동하거나 감염되는 것을 최소화한다. 은닉 스크립트나 액티브X 등의 실행을 제거해 외부유입 문서의 보안성을 크게 높이는 효과를 갖고 있다.

문서형 악성코드는 애플리케이션의 취약점을 이용해 코드를 삽입하기 때문에 기존 백신 방식만으로는 탐지가 어려우며, 쉘코드를 이용해 문서 열람 시 인코딩된 악성코드를 실행시키므로 피해 또한 예측하기가 어렵다.

이를 반영해 CDR 기술은 문서 콘텐츠를 추출하고 안전한 콘텐츠로만 문서를 재구성하는 방식으로 설계됐고, 문서 헤더, 각 콘텐츠의 구문 분석을 통한 문서구조의 오류와 결함을 검출해 알려지지 않은 악성코드도 차단할 수 있도록 설계됐다.

문서에 숨은 악성코드 제거해 APT·랜섬웨어 차단

콘텐츠 추출과정에서는 문서 내 비저블 콘텐츠만을 선별하며, 콘텐츠가 없는 경우나 콘텐츠 추출이 정상적으로 이뤄지지 않는 경우, 의심 문서로 판단하고 문서 반입을 차단한다. 위협 요소가 없는 비저블 콘텐츠를 새로운 문서에 재구성하는데, 이 과정에서도 숨어있는 악성 요소(Hidden Attachment)를 제거하고 원본과 동일한 포맷의 문서로 만든다. 문서에 악성코드가 삽입될 가능성이 있는 매크로, 액티브X, 스크립트, 임베디드 오브젝트 등을 제거한다.

표시된 확장자와 바이너리 데이터 상의 내부구조를 확인해 확장자가 임의로 변경된 파일인지 확인하고, 변경됐다면 문서 반입을 차단한다. 문서 포맷을 확인하기 위해 문서파일을 바이너리 데이터 형태로 열람해 확인한 후 지원하는 확장자일 경우 무해화 처리를 진행하고 지원하지 않는 경우 미지원 확장자 정책에 따라 처리한다.

문서 확장자와 실제 문서 포맷구성이 다른 경우에는 확장자 위변조로 판단해 반입을 차단하며, 미지원 확장자 정책은 지원하지 않는 확장자에 대해 반입 차단/허용의 정책 설정을 할 수 있도록 돼있다.

이메일에 적용된 처리 과정을 살펴보면, CDR 서버를 외부의 송신측과 내부의 전자메일시스템 사이에 연계해 구성하며, 외부에서 유입되는 메일의 본문과 첨부파일을 무해화하고 재구성한 후 내부로 들여보내는 방식으로 이뤄진다.

메일 본문 내 링크된 이미지를 다운로드하고 무해화해 본문을 재구성하며, 메일의 첨부문서를 검사하고 안전한 콘텐츠로 재구성해 사용자에게 전달한다. 압축파일은 압축파일 내 지원 포맷을 확인해 무해화 처리 후, 다시 압축해 사용자에게 전달한다.

기존 대응 솔루션은 내부로 유입되는 웹 트래픽이나 메일에 첨부된 파일의 악성코드를 수집, 분석해 그 패턴이나 시그니처를 식별해 대응하는 방식이 일반적이었다. 이러한 방법은 알려지지 않은 악성코드에 감염된 파일이 내부에 유입됐을 경우 이를 통제하고 관리하는데 어려움이 있다. 기존 방식만으로는 진화하고 있는 랜섬웨어나 다른 해킹 공격을 막을 수 없다. 그런 측면에서 CDR 기술이 이를 대응하기 위한 최적화된 기술이다.

외부 유입 문서 안전성 검증해 내부보안 강화

해외에서는 이미 CDR 기술이 각광 받고 있으며, 특히 일본이 선도적으로 도입하고 있다. 일본 총무성은 다양한 APT 공격에 기존의 분석/탐지 방법으로는 대응이 불가하다는 것을 인식하고, 전국 지자체에 망분리와 함께 내부망으로 유입되는 파일을 무해화 처리해야 한다는 지침을 선포했다. 여기서 무해화란 CDR과 동일한 의미로, 무해화 솔루션으로 CDR 기술이 접목된 보안 솔루션을 활발하게 도입하고 있는 것이다.

이는 보안위협에 대해 보다 철저하게 대응할 수 있는 현실적인 대응책이라 볼 수 있다. 현재 우리나라는 안에서 망만 분리하고 밖에서 들어온 악성 파일을 어떻게 파악하고, 관리할지에 대한 구체적이고 포괄적인 보안 지침이 없다. 이에 반해 일본은 망분리와 들어온 파일에 대한 무해화 처리까지 규정하고 있다. 일본은 표적형 공격 대응에 기존의 악성코드 탐지 방법만으로는 한계가 있다는 것을 인식하고 CDR 기술을 적용한 무해화 처리 보안제품의 도입을 중요시 하고 있다.

외부로부터 유입되는 경로를 완전히 차단한다면 공격 당할 일이 없겠지만, 업무환경에서는 그럴 수 없기에 네트워크 분리와 무해화에 대한 대책이 필요하다. 이처럼 CDR 기술은 문서형 악성코드를 통한 사이버 위협뿐만 아니라 망분리 보안 환경을 강화시켜주는 최신 보안 기술이며, 일본 정부에서도 추천하는 비장의 카드라 볼 수 있다.

새로운 방식의 고도화된 사이버공격이 광범위하게 행해지고 있는 시대에 한계점을 보이고 있는 기존의 보안 솔루션만으로는 보안 위협을 완벽히 막을 수 없다. CDR 기술과 같이 해킹 경로나 방식을 감안해 다차원적으로 고려한 보안 기술을 도입하는 것이 필요하다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.