문서형 악성코드 대응 위한 차세대 보안 기술 CDR
상태바
문서형 악성코드 대응 위한 차세대 보안 기술 CDR
  • 이승윤 기자
  • 승인 2018.12.19 15:29
  • 댓글 0
이 기사를 공유합니다

[CCTV뉴스=이승윤 기자] 전세계는 지금 악성코드를 이용한 사이버 공격로부터 몸살을 앓고 있다. 특히 해커들은 다양한 경로를 통해 사이버 공격을 하고 있다. 한국인터넷진흥원의 2016년 ‘사이버 위협 동향 보고서’에 따르면, 사이버 공격에서 활용되는 악성코드가 유입되는 경로로 인터넷이 67%, 이메일이 24% 비율을 보였다고 발표했다. 특히 주요 유입 경로로 다운로드 받는 악성 문서 파일이 70%로 나타났다. 이 보고서를 통해 사이버 공격자들이 주요 공격 수단으로 문서형 악성코드를 많이 활용하고 있다는 것을 알 수 있다.

글 배환국 | 소프트캠프 대표

문서형 악성코드 주요 생성 방법과 공격유형

문서형 악성코드는 문서에 악성코드를 은닉, 위장해 삽입하고 공격하는 방식이다. 사이버 공격자 들은 비즈니스 업무 시 문서가 필수적인 부분을 노려 이를 악용해 사이버 공격을 하고 있다. 문서형 악성코드를 생성하는 방법은 대표적으로 문서파일 위장과 악성 스크립트 삽입, 문서 편집 프로그램 취약점이 나타나고 있다.

문서형 악성코드의 대표적인 공격 유형으로는 APT 공격과 랜섬웨어, 스피어피싱 등이 있는데, 이 중 APT와 랜섬웨어는 가장 위협적인 사이버 공격으로 손꼽히고 있다. 랜섬웨어의 경우 사전 탐지가 어렵고, 일단 공격을 받으면 속수무책으로 당할 뿐 아니라, 중요 데이터가 훼손이 발생해 기업에 매우 치명적인 피해가 나타날 수 있다.

최근에는 사회공학기법을 통한 문서형 악성코드가 증가하고 있는 추세이다. 공공기관을 공격하기 위해 HWP 취약점과 사회 공학적인 이메일을 이용한 형태로 공격이 이루어지고 있으며, 은닉과 위장, 우회 등을 통해 외형적으로 잘 구분하지 못하도록 점차 지능화 되고 있다.

문서 악성코드 공격은 주로 이메일, USB, 인터넷 등 외부경로를 통해 유입되는 첨부된 악성문서나 파일에 의해 감염된다. 계약서(Contract), 사내업무 공지, 고소장, 숙박 예약문의, 과태료 통지, 배송안내, 교육안내 등으로 위장해 악성문서 형태로 유포되는데, 이런 파일을 열어볼 경우 즉시 악성코드에 감염된다. 그렇기 때문에 외부로부터 유입되는 악성 파일에 대한 효과적인 대응이 무엇보다 중요하며, 대응할 수 있는 관련 솔루션을 도입하는 것이 시급하다.

기존 보안솔루션으로는 대응 한계점 있어

문서형 악성코드는 기존의 보안 솔루션으로 대응에 한계가 있다.기존 악성코드 대응 기술인 정적분석(Static Analysis)과 동적분석(Dynamic Analysis) 방식은 패턴이나 시그니처 기반으로 이미 알려진 악성코드만 탐지하고 방어하기 때문에 알려지지 않은 악성코드나 진화하고 있는 문서형 악성코드 공격에 무방비한 상황이다.

실제로 일본에서는 국민연금 개인정보유출 사건 이후로 샌드박스 형태의 솔루션 시장이 급격히 줄어들고 있는 상황이다. 특히 앞서 언급된 두 분석방식 모두 악성코드를 검출하는 데에만 초점이 맞춰져 있으며, 전문가 분석을 기반으로 한 것이어서 알려지지 않거나, 지속적으로 변화하는 공격을 예측하고 선제적으로 대응하기가 어렵다. 그래서 이런 한계점을 보완한 차세대 보안 기술로 CDR(Content Disarm & Reconstruction)이 주목받고 있다.

문서형 악성코드 최적화된 기술 CDR

CDR(Content Disarm & Reconstruction)은 이름 그대로 콘텐츠를 무해화하고 재구성하는 기술로써, 문서 내 콘텐츠를 분석해 위협이 될 수 있는 요소를 제거하고, 안전한 요소만으로 문서를 재구성 하는 기술이다.

쉽게 설명하면, 외부에서 들어오는 파일을 분석한 후 실행 파일 등 불필요하거나 의심스러운 위협 요소들을 제거하고, 텍스트, 도형, 그림, 표 등 눈에 보이는 비저블 콘텐츠(Visible Contents)만으로 콘텐츠를 재구성해 원본 파일과 동일한 형태의 파일로 사용자에게 제공하는 것이다.

예를 들어 공항에서 출입통제 시스템으로 승객이 칼, 총, 스프레이 등 유해한 무기를 갖고 있는지를 검색한 후 안전한 물건들만 들고 비행기에 탑승하는 것처럼, CDR 엔진을 통해 유해한 것들을 모두 걸러내고 안전한 콘텐츠만 내부망으로 들여보낸다.

CDR 기술은 오래 전부터 사용됐지만, 본격적으로 CDR이란 용어가 사용되기 시작한 것은 2016년 가트너가 자사 보고서에 악성코드 대응을 위한 차세대 보안 기술로 제안하면서 시작됐다. 이전에는 CDR 기술을 기업마다 클린 콘텐츠(Clean Content)나 데이터 살균(Data Sanitizer), 위협 추출(Threat Extraction) 등 다양한 용어로 표현했다. CDR 검사 진행 중 콘텐츠 내에 악성코드가 있을 경우 추출 과정에서 원천 차단되기 때문에 신규 악성코드나 알려지지 않은 제로데이(Zero-day), 분석 사례가 없는 공격, 탐지의 우회 등 다양한 경우의 공격에 대응할 수 있으며, 악성파일이 내부의 중요정보에 접근할 수 없도록 차단해 준다.

전체 기사를 보시려면 로그인 필요

로그인 또는 회원가입을 해주세요. (회원만 열람가능)

로그인 회원가입


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.