급증하는 해킹 메일과 악성 첨부파일, "새로운 기술로 대응해야"
상태바
급증하는 해킹 메일과 악성 첨부파일, "새로운 기술로 대응해야"
  • 전유진 기자
  • 승인 2021.11.25 09:00
  • 댓글 0
이 기사를 공유합니다

APT 솔루션에 CDR 탑재, 보안에 지능 더하다

사이버 공격자는 기업의 PC나 시스템에 침투하기 위해 다양한 경로를 활용한다. 특히, 이메일은 오늘날 대표적인 사이버 공격 경로 중 하나다. 금융보안연구원 통계에 따르면, 해킹 공격의 75%가 이메일을 통해 이루어지는 것으로 나타났다. 이메일은 특별한 경로를 거치지 않고도 사용자에게 쉽게 접근할 수 있어 해킹 공격의 주요 통로로 활용되고 있다. 특히 이메일에 첨부된 문서파일 등에 악성코드가 삽입돼 있는지 알기 어렵기 때문에 사용자들의 주의가 당부된다.

 

디지털 파일에도 요구되는 방역 시스템, 선제 대응이 필수


이메일로 악성코드를 유포하는 수법이 날로 진화하면서 구글, 네이버 등 인터넷 서비스 기업들이 대응에 발벗고 나섰다. 지메일을 서비스하고 있는 구글은 이메일 작성 시 자바스크립트 파일을 첨부하지 못하도록 조치를 취했다. 네이버도 메일 서비스에서 악성코드나 바이러스의 확산을 막기 위해 자바스크립트를 포함한 일부 파일 형식은 첨부해 보내거나 받을 수 없도록 했다.

랜섬웨어를 비롯해 개인정보 탈취 목적으로 유포되는 악성 이메일은 주로 수신자가 첨부 파일을 실행하도록 유도하는 방식을 취하는 만큼, 악성 파일 첨부를 사전에 차단함으로써 사용자 피해를 예방하고 자사 서비스의 신뢰도를 높이기 위함이다.

현재 실행파일 형태의 악성코드는 대부분 선제적인 차단을 원칙으로 한다. 망분리 환경이나 기업의 메일 보안 정책은 물론이고 웹메일도 exe 첨부 파일을 기본 차단한다. exe 파일이지만 확장자를 바꿔 문서파일인 것처럼 보이게 하는 수법도 사용하지만, 이 역시 exe 파일이기 때문에 대부분은 차단되고 사용자에게 도달되지 않는다.

문제는 기업 보안 강화로 악성코드가 쉽게 내부로 침입하기 어려워지면서, 메일 서비스 사업자가 쉽게 차단할 수 있는 exe 실행파일 대신 문서파일을 활용한 악성코드 침투가 이루어지고 있다는 점이다.

실제로 최근 대부분의 공격에 사용되는 것은 문서, 이미지 등 비실행형 파일로 정상 업무와 연관된 내용, 상급 기관의 공문서, 신뢰할 수 있는 사이트에서 발송된 문서 등으로 위장한다. 공공 기관의 경우, 민원 게시판에 민원 관련 서류가 업로드된 것을 보고 담당자가 이 문서를 내려받아 감염될 수 있다. 담당자는 민원 처리를 위해 민원인의 증빙자료를 반드시 확인해야 하기 때문에 이러한 공격을 막는 것은 쉽지 않다.

비실행형 파일을 이용한 공격 유형은 크게 두 가지로 나눠 설명할 수 있다. 먼저, 매크로나 스크립트 실행 등 문서의 정상적인 기능을 악용하는 방식이다. 사용자가 문서를 열고, 매크로나 연결된 객체 실행을 허용할 때 공격자가 사전에 입력한 코드가 실행되면서 명령 제어 서버와 통신해 공격을 위한 추가 파일을 내려받거나 PC 정보를 탐색해 명령 제어 서버로 전송한다.

이 공격은 CDR(콘텐츠 무해화, Content Disarm&Reconstruction) 솔루션으로 방역 시스템을 만들 수 있다. CDR은 문서에서 매크로·자바스크립트 등 실행 가능한 요소를 제거하고 깨끗한 새 문서로 재조립함으로써 공격 가능성을 원천적으로 제거한다.

다음으로는 해당 문서파일 자체의 취약점을 악용하는 방식이다. 주로 문서 편집 애플리케이션의 특정 버전, 특정 폰트, 표 등에 포함된 취약점을 이용하며, 사용자가 어떤 행위를 하지 않아도 악성 행위가 자동으로 실행된다. 만일 CDR을 이용해 이 취약점을 모두 제거한다면 문서의 모든 속성과 편집을 제거하고 텍스트 파일로 만들어야 해 업무에 영향을 줄 수 있다. 또한, CDR이 취약점을 완벽하게 제거하지 못한다는 맹점도 존재한다.

물론 임직원에게 이메일, 문서 등을 이용한 공격에 주의할 것을 강조하고 모의 훈련을 통해 보안 습관을 만드는 것도 중요하지만, 공격이 시작된 후 공격자는 무한대의 가능성을 갖고 공격하기 때문에 사실상 이를 완벽하게 막기는 어렵다. 아울러 공격자는 시스템 여러 곳에 공격 거점을 만들고 중요 정보를 수집해 유출하며, 중요 시스템 권한 계정을 탈취해 장악하면서 기업 시스템을 공격자 손바닥에 놓는다.

따라서, 공격에 악용될 소지가 있는 것을 원천 차단해 직원들이 보안에 대한 걱정 없이 일하게 하는 것이 가장 효과적이다. 일단 공격이 진행되면 선제적인 방어는 불가능하다. 결국 공격이 시작되기 전, 정상 플로우 내에서 해커가 할 수 있는 행위가 별로 없는 단계에서 원천적으로 차단하는 것이 가장 안전한 셈이다.

 

비실행형 파일 위험 원천 차단하는 차세대 악성코드 기술


기존의 악성코드 탐지는 안티바이러스, 안티스팸 등 시그니처 기반 솔루션들이 주를 이뤘다. 그러나 최근 늘어나고 있는 타깃 공격 등은 악성코드를 새로 만들어 내기에 시그니처를 보유하고 있지 못하는 경우가 많다. 이를 보완하기 위해 샌드박스 등 행위 기반 탐지 솔루션들도 등장했으나 가상 환경 회피, 시간차 공격 등 우회하는 방안들도 생겨나면서 악성코드 탐지에 허점이 발생하기 시작했다.

특히, 메일 서버단에서 바로 차단되는 실행파일과 달리 이미지나 문서파일 등에 포함된 악성코드를 탐지하는 것은 더욱 쉽지 않다. 또한, 익스플로잇을 이용한 타깃 공격은 시그니처가 없어 기존 탐지 솔루션을 우회할 수도 있다.

 

이에 시큐레터는 비실행형 파일에서 악성 행위를 일으키는 트리거를 찾아 분석하고 차단하는 솔루션을 제공한다. 파일의 최소 단위인 어셈블리 레벨에서 리버스 엔지니어링 분석으로 악성 여부를 판단하며, 악성코드 분석가의 전문성을 상용화한 ‘시큐레터 이메일 시큐리티(SLE)’, ‘시큐레터 파일 시큐리티 (SLF)’, ‘시큐레터 이메일 서비스(SLES)’ 등의 솔루션 제공을 통해 시그니처나 샌드박스로 차단하지 못하는 비실행파일 악성코드를 분석·차단한다.

SLE(SecuLetter Email Security): 이메일로 유입되는 비실행형 파일 형태의 악성코드에 특화된 기술로, 알려지지 않은 공격까지 사전에 탐지, 차단해 주는 위협 대응 솔루션이다. 전용 분석 엔진을 탑재한 SLE는 어셈블리 레벨 분석을 통해 문서가 일으키는 악성 행위를 사전에 탐지하고 차단한다.

SLF(SecuLetter File Security): 외부 및 내부망을 통해 파일을 주고받는 환경에서 의심하기 힘든 형태의 비실행형, 특히 문서 형태의 파일로 들어올 수 있는 악성코드를 사전에 탐지, 차단해주는 위협 대응 솔루션이다. 망분리 환경에서 망연계 보안 솔루션으로 최적화된 제품이다.

SLES(SecuLetter Email Service): 중소기업을 위한 낮은 초기 도입 비용으로 악성 위협 사전 탐지 서비스를 도입할 기회를 제공한다.

실제로 한 중견기업에서 이메일에 포함된 악성코드가 얼마나 되는지 테스트 한 결과 한 달간 중복 파일을 제거하고 시그니처 기반 보안 탐지 솔루션은 8건의 악성코드를 찾아냈지만, 시큐레터의 동적 탐지 기술은 40건을 찾아냈다.

일각에서는 ‘그동안 악성코드 공격을 이렇게 많이 받았는데, 왜 그동안 아무 피해도 일어나지 않았는가’ 하는 의문을 제기한다. 사실상 기업이 악성코드가 감염됐다는 걸 아는 시점은 해커가 공격 사실을 알리면서 협박하거나 외부 기관이 통보할 때부터다. 실제 피해가 발생하지 않아도 악성코드에 감염됐다는 사실은 이미 공격이 시작됐고, 피해가 발생하고 있다는 것을 의미한다. 공격자는 탐지되지 않도록 조용히 움직이면서 장기간 공격을 이어간다.

공격자는 실행파일 형태의 악성코드를 직접 유입시키는 것이 아니라 비실행형 파일에 정상 기능, 정상 프로세스를 이용해 악성 행위를 일으킨다. 실제 악성 행위가 시작되기 전에는 정상 프로세스 안에서 진행되는 비정상 행위를 알아내지 못한다.

가령, 아크로뱃 리더가 2바이트의 문서를 읽도록 설정했는데, 해커가 PDF를 조작해 2바이트 이상 문서를 넣고 아크로뱃 리더에서 이 문서를 읽게 된다면 아크로뱃 리더는 장애를 일으키며 다운시키고 비정상 종료를 안내하는 메시지를 준다. 공격자는 이 메시지에 악성 쉘코드를 삽입해 종료 메시지 실행 시 악성 쉘코드가 본격적으로 실행되어, 이후부터는 더 이상 아크로뱃 리더가 아닌 악성 실행파일처럼 동작하게 된다.

따라서, 익스플로잇이 발생하기 전 진단하는 것이 가장 중요하다고 볼 수 있다. 시큐레터의 악성코드 진단분석 엔진인 MARS는 CPU 레지스터에서 익스플로잇 원인을 진단해 악성 행위가 시작되기 전에 악성인지 정상인지를 파악하고 조치를 취한다.

시큐레터의 리버스 엔지니어링은 타 솔루션 대비 5배 빠른 속도로, 악성코드를 빠르게 진단하는 것이 큰 특징이다. 실제로 행위 기반 솔루션은 위협 진단에 보통 5분 정도 걸리지만, 시큐레터는 43초 만에 위협 분석을 완료한다.

샌드박스 기반의 알려지지 않은 위협 탐지 제품 중에서 1분 안에 결과를 줄 수 있는 유일한 제품이다. 진단을 행위 기반으로 하지 않기 때문이다. 악성코드의 행위를 기다릴 필요가 없어 속도에 민감한 망연계 환경에서 효율적이다.

 

아울러, 시큐레터는 10월 21일부터 22일까지 이틀 동안 서울 삼성동 코엑스에서 열리는 ‘제15회 국제 시큐리티 콘퍼런스(ISEC 2021)’에 참가해 APT 솔루션에 CDR 기능을 추가한 차세대 분석 기술 ‘SLCDR’을 선보이기도 했다. 

SLCDR은 리버스 엔지니어링 악성코드 분석과 CDR 기능을 지원해 보다 강력한 보안을 제공한다. 먼저, 비실행 파일에 숨은 위협을 원천 제거하기 위해 파일을 가상머신에서 동적 분석을 진행, 어셈블리 레벨에서 익스플로잇을 진단해 악성일 경우 차단하는 방식이다. 아울러, 문서에 포함된 URL이나 매크로, 자바스크립트, 쉘코드 등 콘텐츠를 제거 후 재조합해 원본에 가까운 파일을 전송하게 된다.

 

글로벌 보안 시장 진출도 본격화


시큐레터는 2015년 설립된 스타트업으로, 설립 초기부터 글로벌 시장을 적극적으로 공략해 사우디아라비아 정부 투자 기관 등으로부터 총 800만 달러(약 94억 원) 규모의 시리즈B 투자 유치를 완료했다. 시리즈 A와 B 투자 유치를 통해 국내외 투자 기관으로부터 유치한 자금은 125억 원에 이른다.

해당 자금을 바탕으로 현재 지속적인 기술개발을 단행하고 있고, 실제로 한국자산관리공사, 한국전력기술, 우정사업본부, BNK부산은행 등 이미 많은 공공 기관, 금융사와 대학교, 기업에 이메일 구간과 파일 구간, 클라우드 기반 보안 제품들을 공급하고 있다.

아울러, 비실행형 파일을 이용한 공격을 CDR과 리버스 엔지니어링을 통해 근본적으로 제거하는 시큐레터는 크리니티, 모니터랩 등 국내 여러 보안 기업과 협력해 웹·이메일을 통한 위협을 차단하고 있다.

먼저, 시큐레터의 콘텐츠 기반 악성 이메일 보안 제품 ‘SLE’와 크리니티의 이메일 보안 국제표준기술이 적용된 ‘스팸브레이커’의 기술력을 결합해 통합 이메일 보안 솔루션을 공동으로 공급한다. 고도화되는 이메일 보안 위협에 효과적으로 대응하기 위해 악성코드 차단 기술력과 스팸 메일 차단 기술력을 결합, 이메일을 통해 발생하는 여러 위협을 효과적으로 차단하고자 한다.

또한, 시큐레터는 모니터랩과 차세대 융합보안 솔루션 공동 개발을 위한 협약을 체결해 기업 내부로 유입되는 악성코드 및 악성파일에 대한 실시간 분석으로 대응력을 개선했다. 구체적으로, 양사는 시큐레터의 실시간 악성파일 분석 솔루션 ‘SLF’에 모니터랩의 '통합 네트워크 보안 솔루션(AISWG)’를 접목한 솔루션을 공동 개발해 기업 내외부에서 전송되는 대용량의 비실행형 파일을 고속으로 파싱하고, 지연 없는 실시간 보안 검사 서비스를 통해 APT 공격과 랜섬웨어 공격을 예방하고 악성코드의 탐지 및 차단율을 획기적으로 높인다.

시큐레터는 또 연간 2억 건 이상의 이메일 데이터를 학습해 새로운 형태의 위협을 발견하는 KT의 AI 분석 플랫폼에 자사의 ‘위협문서 탐지’ 기능을 적용, 리버스 엔지니어링 기술을 통해 실행파일이 아닌 문서의 악성코드도 빠르게 탐지, 진단, 분석, 차단함으로써 APT 보안 솔루션이 방어하지 못하는 사각지대까지 보호한다. 이로 인해 고도화된 위협들이 보안 솔루션의 진단을 회피하는 방법을 무력화할 수 있다.

현재 시큐레터는 내년 기술상장특례를 위해 준비 중이며, 자사 기술을 API 형태로 오픈하고 망연계 솔루션, SSL VPN, 개인정보 보호 솔루션 등과 연동하는 방식으로 확장할 계획이다.

사이버 공격은 계속 진화하고 있다. 공격자들은 의료 기관, 기업, 학교 및 운송 기관들을 무차별적으로 공격하고 있다. 산업 분야와 관계없이 랜섬웨어가 모든 조직과 기업에 미칠 수 있는 막대한 영향을 고려할 때 보안 담당자들은 새로운 방식으로 시스템, 네트워크 및 소프트웨어를 보호할 대책을 마련해야 한다.

사이버 공격을 100% 막을 수 있다고 확신할 수 없다. 다만 공격을 완전히 근절하지는 못하더라도 공격을 탐지하고 위협을 최소화할 수는 있을 것이다. 따라서, 공격당했을 때 취해야 할 단계를 미리 파악하고 있는 것이 중요하다. 사이버 공격에 올바른 이해와 효과적인 솔루션을 도입함으로써 정교해지는 공격에 선제적으로 대응할 수 있을 것으로 본다.


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.