이 시각 주요 뉴스

여백

문서형 악성코드 대응 위한 차세대 보안 기술 CDR

이승윤 기자l승인2018.12.19 15:29:50l수정2018.12.26 09:13

크게

작게

메일

인쇄

신고

[CCTV뉴스=이승윤 기자] 전세계는 지금 악성코드를 이용한 사이버 공격로부터 몸살을 앓고 있다. 특히 해커들은 다양한 경로를 통해 사이버 공격을 하고 있다. 한국인터넷진흥원의 2016년 ‘사이버 위협 동향 보고서’에 따르면, 사이버 공격에서 활용되는 악성코드가 유입되는 경로로 인터넷이 67%, 이메일이 24% 비율을 보였다고 발표했다. 특히 주요 유입 경로로 다운로드 받는 악성 문서 파일이 70%로 나타났다. 이 보고서를 통해 사이버 공격자들이 주요 공격 수단으로 문서형 악성코드를 많이 활용하고 있다는 것을 알 수 있다.

글 배환국 | 소프트캠프 대표

문서형 악성코드 주요 생성 방법과 공격유형

문서형 악성코드는 문서에 악성코드를 은닉, 위장해 삽입하고 공격하는 방식이다. 사이버 공격자 들은 비즈니스 업무 시 문서가 필수적인 부분을 노려 이를 악용해 사이버 공격을 하고 있다. 문서형 악성코드를 생성하는 방법은 대표적으로 문서파일 위장과 악성 스크립트 삽입, 문서 편집 프로그램 취약점이 나타나고 있다.

문서형 악성코드의 대표적인 공격 유형으로는 APT 공격과 랜섬웨어, 스피어피싱 등이 있는데, 이 중 APT와 랜섬웨어는 가장 위협적인 사이버 공격으로 손꼽히고 있다. 랜섬웨어의 경우 사전 탐지가 어렵고, 일단 공격을 받으면 속수무책으로 당할 뿐 아니라, 중요 데이터가 훼손이 발생해 기업에 매우 치명적인 피해가 나타날 수 있다.

악성코드 대표 공격유형

최근에는 사회공학기법을 통한 문서형 악성코드가 증가하고 있는 추세이다. 공공기관을 공격하기 위해 HWP 취약점과 사회 공학적인 이메일을 이용한 형태로 공격이 이루어지고 있으며, 은닉과 위장, 우회 등을 통해 외형적으로 잘 구분하지 못하도록 점차 지능화 되고 있다.

문서 악성코드 공격은 주로 이메일, USB, 인터넷 등 외부경로를 통해 유입되는 첨부된 악성문서나 파일에 의해 감염된다. 계약서(Contract), 사내업무 공지, 고소장, 숙박 예약문의, 과태료 통지, 배송안내, 교육안내 등으로 위장해 악성문서 형태로 유포되는데, 이런 파일을 열어볼 경우 즉시 악성코드에 감염된다. 그렇기 때문에 외부로부터 유입되는 악성 파일에 대한 효과적인 대응이 무엇보다 중요하며, 대응할 수 있는 관련 솔루션을 도입하는 것이 시급하다.

기존 보안솔루션으로는 대응 한계점 있어

문서형 악성코드는 기존의 보안 솔루션으로 대응에 한계가 있다.기존 악성코드 대응 기술인 정적분석(Static Analysis)과 동적분석(Dynamic Analysis) 방식은 패턴이나 시그니처 기반으로 이미 알려진 악성코드만 탐지하고 방어하기 때문에 알려지지 않은 악성코드나 진화하고 있는 문서형 악성코드 공격에 무방비한 상황이다.

정적분석과 동적분석 세부 내용 정리

실제로 일본에서는 국민연금 개인정보유출 사건 이후로 샌드박스 형태의 솔루션 시장이 급격히 줄어들고 있는 상황이다. 특히 앞서 언급된 두 분석방식 모두 악성코드를 검출하는 데에만 초점이 맞춰져 있으며, 전문가 분석을 기반으로 한 것이어서 알려지지 않거나, 지속적으로 변화하는 공격을 예측하고 선제적으로 대응하기가 어렵다. 그래서 이런 한계점을 보완한 차세대 보안 기술로 CDR(Content Disarm & Reconstruction)이 주목받고 있다.

문서형 악성코드 최적화된 기술 CDR

CDR(Content Disarm & Reconstruction)은 이름 그대로 콘텐츠를 무해화하고 재구성하는 기술로써, 문서 내 콘텐츠를 분석해 위협이 될 수 있는 요소를 제거하고, 안전한 요소만으로 문서를 재구성 하는 기술이다.

쉽게 설명하면, 외부에서 들어오는 파일을 분석한 후 실행 파일 등 불필요하거나 의심스러운 위협 요소들을 제거하고, 텍스트, 도형, 그림, 표 등 눈에 보이는 비저블 콘텐츠(Visible Contents)만으로 콘텐츠를 재구성해 원본 파일과 동일한 형태의 파일로 사용자에게 제공하는 것이다.

예를 들어 공항에서 출입통제 시스템으로 승객이 칼, 총, 스프레이 등 유해한 무기를 갖고 있는지를 검색한 후 안전한 물건들만 들고 비행기에 탑승하는 것처럼, CDR 엔진을 통해 유해한 것들을 모두 걸러내고 안전한 콘텐츠만 내부망으로 들여보낸다.

CDR 기술은 오래 전부터 사용됐지만, 본격적으로 CDR이란 용어가 사용되기 시작한 것은 2016년 가트너가 자사 보고서에 악성코드 대응을 위한 차세대 보안 기술로 제안하면서 시작됐다. 이전에는 CDR 기술을 기업마다 클린 콘텐츠(Clean Content)나 데이터 살균(Data Sanitizer), 위협 추출(Threat Extraction) 등 다양한 용어로 표현했다. CDR 검사 진행 중 콘텐츠 내에 악성코드가 있을 경우 추출 과정에서 원천 차단되기 때문에 신규 악성코드나 알려지지 않은 제로데이(Zero-day), 분석 사례가 없는 공격, 탐지의 우회 등 다양한 경우의 공격에 대응할 수 있으며, 악성파일이 내부의 중요정보에 접근할 수 없도록 차단해 준다.

CDR 기술 전반적인 개요

CDR 기술의 문서 분석과정

CDR 기술은 문서구조 분석방식을 기반으로 구현되며, 분석과정은 문서 포맷 확인, 문서 구조분석, 구성요소 추출과 검증, 재구성과 검증 순으로 진행된다. 세부적인 내용은 [표1]과 같다.

[표1] CDR 분석 과정 세부 내용 정리

CDR 기술은 문서 재구성을 기반으로 설계돼 있으며, 전자문서 내 악성코드를 제거함으로써 외부에서 유입된 문서로 인해 내부 PC가 오작동하거나 감염되는 것을 최소화한다. 또한, 은닉 스크립트나 ‘ActiveX’ 등의 실행을 제거해 외부유입 문서의 보안성을 크게 높이는 효과를 갖고 있다.

문서형 악성코드는 애플리케이션의 취약점을 이용해 코드를 삽입하기 때문에 기존 백신 방식만으로는 탐지가 어려우며, 셸코드(Shellcode)를 이용해 문서 열람 시 인코딩 된 악성코드를 실행시키므로 피해 또한 예측하기가 매우 어렵다.

이를 반영해 CDR 기술은 문서 콘텐츠를 추출하고 안전한 콘텐츠로만 문서를 재구성하는 방식으로 설계되었고, 문서 헤더와 각 콘텐츠의 구문 분석을 통한 문서구조의 오류와 결함을 검출해 알려지지 않은 악성코드도 차단할 수 있도록 구성돼 있다.

CDR 시장 형성 과정

2000년도 초반에 안티바이러스 기업들이 파일에서 매크로를 제거하는 시도를 했는데, CDR 업계에서는 이 시도가 CDR의 시작점이라고 보고 있다. 이후 2004년 북대서양조약기구(NATO)가 본격적인 연구를 시작했고, 2010년대에 이르면서 보안기업들이 CDR 연구에 돌입한 것으로 알려졌다.

CDR이 본격적으로 상품화되고 시장이 형성되기 시작한 것은 해외는 2010년 이스라엘 보티로(VOTIRO)가 제품을 출시하면서 시작됐으며, 한국에서는 2013년 소프트캠프가 실덱스(SHIELDEX)를 출시하면서 시작됐다. 이후 미국의 옵스왓(OPSWAT)이 2014년에 제품을 출시했고, 지란지교시큐리티가 2017년 출시했다.

현재 국내에서는 이 4개 기업이 제품을 서비스하면서 한국 CDR 시장을 주도해 가고 있다. 최근 이메일을 통해 유입되는 한글, 워드 등 문서의 첨부파일을 이용한 APT, 랜섬웨어 등의 공격으로부터 사용자를 보호할 수 있는 최적의 기술로 CDR이 각광받고 있으며, 시그니처 중심의 안티 바이러스 등 엔드포인트 보안 솔루션을 보완할 수 있을 것으로 업계에서는 기대하고 있다.

해외 CDR 기술 정책 동향

CDR 기술이 문서형 악성코드의 효과적인 대응할 수 있다는 점이 주목받으면서, 다양한 나라에서 자국의 안전한 보안 환경 구성을 위해 CDR 기술 도입을 의무화하는 정책을 선보이고 있다.

일본은 2015년 일본 연금 기구에서 125만 건의 개인정보 유출 사건이 발생한 이후 일본 총무성이 지자체의 정보보안 향상 대책으로 망분리와 무해화를 규정을 만들고 이에 대한 막대한 예산을 편성했다. 문부과학성에서도 2016년 6월 시가현의 개인 정보 유출 사건을 계기로 2016년 7월 8개 항목의 교육 네트워크 보안대책을 발표했고, 해당 지침에 무해화를 명시해 의무화하고 있다.

[표2] 각 나라별 CDR 기술 규정 정리

미국은 국토안보부와 국가안보국이 공동으로 총 12개 항목으로 구성돼 있는 사이버 종합 계획(The Comprehensive National Cybersecurity Initiative)을 주관했으며, CDR 지침은 연방기관 네트워크의 신뢰성 있는 인터넷 접속 관리(이하 TIC)에 규정돼 있다.

TIC 계획은 백악관 관리 예산처와 국토안보부에 의해 추진되었고, 2017년 새롭게 발표된 TIC 관리에 협업 필터링(Content Filtering)이라는 용어를 사용해 CDR 처리에 대한 지침을 명시하고 있다.

호주의 경우 호주 사이버 보안 센터에서 사이버보안을 주도하고 있으며, 2017년 정보보안 매뉴얼(Information Security Manual)을 새롭게 발표하였다. 해당 매뉴얼에 CDR 규정으로 ‘Content Filtering’, ‘Content Sanitization’, ‘Data transfers & content filtering’이라는 용어를 사용해 CDR 기술을 명시하였으며, 이를 의무화하고 있다. 이스라엘 사이버 당국도 조직을 위한 사이버 방어 방법론(Cyber defense Methodology for an organization)에서 분리된 네트워크간의 파일 교환 구간에 내용 필터링(Content Filtering)을 할 것을 명시하고 있다.

CDR 시장, 지속적인 성장 가능성 높아

현재 CDR 기술을 활발하게 도입하고 있는 국가는 이스라엘과 일본이다. 이스라엘은 국가적인 환경으로 인해 CDR 기술이 앞서 도입되고 있으며, 일본의 경우 2020년 도쿄 올림픽을 앞두고 정부에서 망분리 의무화와 파일 무해화 규정을 강화하고 있어 CDR 시장이 급속하게 성장하고 있다. 우리나라는 망분리 후 파일을 이동할 때 망연계 솔루션을 이용해 보안을 강화했지만, 일본은 파일 자체에 문제가 없는지 확인하는 방식을 선택했다. 일본에서 CDR이 활발한 이유는 이 때문이다.

유럽과 미국은 일본만큼은 아니지만 CDR의 잠재력을 높이 보고 정부와 기관에서 먼저 움직이고 있다. 미국 국토안보부도 지난 2017년 카네기멜론 대학과 함께 CDR 솔루션 테스트를 진행하는 등 미국과 유럽에서도 CDR에 대한 관심이 높은 편이다.

우리나라는 이제 막 CDR 시장이 형성되고 있으며, 시장 규모 역시 아직은 집계할 만큼은 아니다. 한국 시장에서 가장 먼저 해결해야 하는 과제는 국내 고객들에게 CDR에 대한 개념을 인지시키는 것이다. 국내 고객들이 CDR 기술이 무엇이며, 얼마나 효과적인지 아직

잘 모르고 있어 시장이 활발하게 형성되지 못하고 있다. 또한, CDR 기술은 구현하기 어렵기 때문에 후발 기업들이 쉽게 뛰어들지 못해 시장이 활성화되지 못하는 이유도 있다. 

CDR 기술은 거의 모든 콘텐츠를 분석하고 재구성할 정도로 문서에 대한 지식이 필요하다. 또한이 작업들은 시간이 오래 걸려서도 안 되고, 무엇보다 원본과 완벽하게 동일해야 경쟁력을 갖게 된다.

우리나라 한글이나 일본의 워드프로세서 프로그램인 이치타로(一太郎)처럼 국가나 기업이 별도로 원하는 포맷이 있기 때문에 그 포맷에 맞춰 완벽하게 동일한 재구성을 하기 위해서는 많은 연구와 개발이 필요하며, 문서보안에 대한 충분한 이해와 기술력이 필요하다. 게다가 콘텐츠 프로그램의 업데이트가 있으면 CDR도 업데이트를 해야 하기 때문에 안티 바이러스처럼 업데이트도 지속적으로 해야 한다.

CDR은 보안시장에 소개된 지 얼마 안된 기술이고 이제 막 시장이 형성되고 있지만, 일본과 미국 정부가 주목하면서 그 성장 가능성을 인정받았다. 특히, CDR은 기존 엔드포인트 시큐리티 제품들과 접목하면 성능이 증가될 수 있기 때문에 제품과 제품, 기업과 기업의 협업에 대한 시장성도 더욱 기대하고 있다. 즉 CDR 시장은 앞으로 지속해서 성장해 나갈 시장임에는 분명하다.

국내, 망분리 하더라도 성벽 지키려면 CDR 도입해야

우리나라는 안에서 망만 분리하고 밖에서 들어온 나쁜 파일을 어떻게 파악하고, 관리할지, 즉 파일을 외부에서 내부로 안전하게 들여오는 구체적인 방안에 대한 보안 대책이 없다. 악성코드가 들어오는 입구만 막고 막상 들어온 것에 대해서는 어떻게 해야 한다는 지침이 없는 것이다.

이에 반해 일본은 망분리와 들어온 파일에 대한 무해화 처리까지 규정하고 있다. 여기서 말하는 파일 무해화 처리가 바로 CDR이다. 일본은 표적형 공격 대응에 기존의 악성코드 탐지 방법만으로는 한계가 있다는 것을 실감하고 CDR 기술을 적용한 무해화 처리 보안제품의 도입을 진행하고 있다.

외부로부터 유입되는 경로를 완전히 차단한다면 사이버 공격을 원천 차단할 수 있지만, 업무환경에서는 그럴 수 없기에 네트워크 분리와 CDR, 무해화에 대한 대책이 필요하다.

단 하나의 보안 솔루션으로 보안위협을 완벽히 막을 수 없기 때문에 해킹 경로나 방식을 감안해 다차원적으로 성벽을 쌓듯 보안제품을 도입하는 방안이 필요하다. 근래 4차 산업혁명으로 주목 받고 있는 인공지능, IoT 보안도 물론 중요하지만, 국가에서 의무로 하고 있는 망 분리 환경을 더욱 안전하게 지키기 위해서는 CDR 도입이 시급하다.

#문서#악성코드#보안#CDR

이승윤 기자  hljysy@cctvnews.co.kr
<저작권자 © CCTV뉴스, 무단 전재 및 재배포 금지>

이승윤 기자의 다른기사 보기
여백
여백
여백
여백
여백
여백
여백
여백
여백
매체소개공지사항보안자료실기사제보광고문의불편신고개인정보취급방침청소년보호정책이메일무단수집거부    [기사ㆍ기고 문의 : desk@cctvnews.co.kr]
(주)테크월드 08507 서울특별시 금천구 가산디지털1로 168, 1012-1호 (가산동, 우림라이온스밸리 C동)  |  제호: 씨씨티브이뉴스  |  발행일: 2009년 2월 19일
대표전화 : 02)2026-5700  |  팩스 : 02)2026-5701  |  이메일 : webmaster@techworld.co.kr  |  청소년보호책임자 : 박지성
통신판매업신고번호 : 제 2008-서울금천-0415 호  |  발행·편집인 : 박한식  |  인터넷신문등록번호 : 서울, 아 00607  |  등록일 : 2008.06.27
Copyright © 2019 CCTV뉴스. All rights reserved .