진화하는 사이버 위협과 보안 패러다임의 변화
코로나19 대유행은 사람들의 건강뿐 아니라 디지털 세상의 건강까지 위협했다. 거의 모든 인프라가 디지털 기반으로 서비스를 옮겨가면서 이를 노리는 사이버 공격의 위협도 함께 커졌기 때문이다. 또한 사이버 공격의 유형 역시 다변화되면서 이에 대응하기 위한 보안 패러다임도 빠르게 변화하고 있다.
이러한 흐름 속에서 전통적인 시그니처 및 행위 기반 보안 솔루션들은 진화하는 사이버 침해 기법들에 대응하기에는 낡은 방식으로 여겨지고 있다. 이에 시큐레터는 기존의 시그니처 및 행위 기반 보안 솔루션의 대응 취약점을 보완해 진화된 사이버 침해에 대응하는 기술을 개발했다.
시큐레터는 리버스 엔지니어링을 통해 악성코드 공격을 근원적으로 탐지하는 솔루션을 제공함으로써 지능형 보안 위협을 사전 방어한다. 리버스 엔지니어링은 완성된 소프트웨어를 역으로 분해해 구성 요소들을 분석하는 개발 기법으로, 보안 분야에서는 해킹 등의 공격을 역으로 추적해 사이버 침해를 원천적으로 방어하는 데 활용되고 있다.
특히, 시큐레터는 특허 받은 자체 기술력을 바탕으로 정적 분석, 동적 분석, 상세 분석에 사용되는 다양한 진단 기술을 보유하고 있으며, 이를 활용해 빠르고 정확하게 악성코드·랜섬웨어를 진단할 수 있어 보안 사각지대를 해소한다.
핵심 진단 기술, MARS 플랫폼
MARS 플랫폼은 시그니처 기반 솔루션과 행위 기반 APT 보안 솔루션들의 단점을 극복하는 시큐레터의 핵심 진단 기술이다. 여기에는 위협 분석, 콘텐츠 무해화, 디버거 분석의 3개의 기술이 포함되어 있다.
• 위협 분석: 콘텐츠 식별 및 구조를 분석하는 것으로 자체 진단·분석 경험 및 노하우와 시그니처 조회, 실행(PE) 파일 진단 등의 응용 노하우가 축적된 기술.
• 콘텐츠 무해화(CDR: Content Disarm & Reconstruction): 액티브 콘텐츠를 식별·분석, 제거, 재구성하는 기반 기술로 제로 트러스트를 구현.
• 디버거 분석: 자동화된 리버스 엔지니어링 기술로 콘텐츠의 취약점을 탐지하고 진단. 단순하지만 분석가의 기술이 자동화된 핵심 기술.
MARS 플랫폼에 탑재된 시큐레터 제품은 콘텐츠 또는 비실행형(Non-PE) 파일들이 수집, 저장, 활용되는 모든 구간에서 선제적인 보안 위협에 정확하고 빠르게 대응한다. 한국인터넷진흥원(KISA)에서 실시한 정보 보호 제품 APT 대응 장비 성능 평가에서 국내 최초로 ‘악성코드 탐지율 100%’를 달성했으며, 진단 속도 43.28초로 GS인증 1등급 및 CC인증을 획득했다. 이와 함께 전자금융감독규정시행세칙과 ITSS APT 대응 표준에 부합하고, 중소기업벤처부 우수연구개발 혁신제품으로도 선정되어 품질과 성능 모두 대외적으로 검증받았다.
이메일 보안
시큐레터 이메일 보안(MARS SLE: SecuLetter Email Security)은 이메일로 유입되는 보안 위협을 탐지·차단하는 솔루션이다. 이메일로 유입되는 비실행형 파일 형태의 보안 위협에 특화된 기술로, 알려지지 않은 공격까지 사전에 탐지하여 방어한다.
시큐레터 이메일 보안 서비스(MARS SLES: SecuLetter Email Service)는 제품 구매 없이 시큐레터의 이메일 보안 솔루션을 이용할 수 있는 구독형 서비스다. 상용 이메일 솔루션 및 클라우드 이메일 서비스와 연동이 가능해 이메일 시스템 변경 없이 신속하게 구축 및 적용할 수 있고, 초기 도입 비용이 낮아 중소기업에서 이용하기에도 부담이 없다는 것이 장점이다.
중소기업의 경우 ‘비대면 바우처 플랫폼 사업’과 ‘ICT 중소기업 정보보호 지원사업’을 통해 이 서비스를 신청할 수 있다.
파일 보안
시큐레터 파일 보안(MARS SLF: SecuLetter File Security)은 파일이 유입되는 모든 구간에서 보안 위협을 탐지·차단하는 솔루션이다. 파일을 주고받는 모든 환경에서 의심하기 힘든 비실행형 문서 파일로 침입하는 콘텐츠 매개형 보안 위협과 악성코드를 사전에 탐지, 차단한다.
망분리 환경에서 망연계 연동, 문서 중앙화 솔루션 연계 또는 파일 업로드 구간 등의 보안에 최적화된 제품이다. 내부 네트워크로 유입되는 파일과 스토리지에 저장된 파일에 대한 악성코드 감염 내역 진단·차단, 용량 제한 없는 파일 검사 등을 진행한다. 악성코드가 탐지되면 관리자에게 알람을 보내고 직관적 관리 보고서를 제공해 효율적으로 보안 위협을 제거하고 관리할 수 있다.
콘텐츠 무해화
시큐레터 콘텐츠 무해화(MARS SLCDR: SecuLetter CDR)는 기존 CDR 기술과 리버스 엔지니어링 악성코드 분석 기술을 결합하여 독자적으로 개발한 기술이다. MARS SLF의 Addꠓon 형태로 제공하며 문서에서 포함된 URL이나 매크로, 자바스크립트, Shellcode 등의 액티브 콘텐츠를 식별하여 실행 가능한 요소를 제거한 후 깨끗한 새 문서로 재조립함으로써 공격 가능성을 원천 차단한다.
시큐레터 보안 솔루션 구축 사례
BNK부산은행, 비실행형 파일 악성코드 위협 공격 차단으로 보안 사각지대 해소
BNK부산은행은 시큐레터 보안 솔루션을 도입해 이메일·망연계 구간의 지능형지속보안위협(APT: Advanced Persistent Threat) 보안을 한층 강화했다.
BNK부산은행은 행위 기반 APT 솔루션들이 탐지하지 못하는 비실행형 문서 파일(HWP, MS오피스, PDF 등)을 이용한 고도의 악성코드 공격을 탐지하고 차단할 수 있는 솔루션의 적용을 검토해 왔다. 이에 따라 다양한 솔루션들을 비교·분석해 개념증명(PoC: Proof of Concept)한 결과 시큐레터의 SLF를 도입하여 보안 사각지대를 해소했다.
BNK부산은행은 시큐레터 보안 솔루션을 도입하게 된 이유로 ▲이메일·망연계 보안성 강화 ▲콘텐츠 악성코드 무해화 기능 내재 ▲높은 진단율 ▲빠른 진단 속도 ▲다양한 보안 제품과의 유기적 통합 용이 ▲CC인증을 취득한 국산 보안 솔루션으로서 신속한 대응 능력 등을 꼽았다.
BNK부산은행 정보보호부 우성훈 차장은 “망연계 환경에서 행위 기반 APT 솔루션이 탐지하지 못하는 비실행형 파일, 즉 문서 파일에 대한 보안 대책이 시급한 상황에서 시큐레터의 솔루션을 도입하게 됐다.
최근 사이버 공격 동향을 볼 때 실행 파일보다 비실행 파일을 이용한 APT 공격이 90% 이상으로 압도적으로 많은 만큼 비실행 파일에 대한 정확한 진단과 차단이 매우 중요한 상황에서 시큐레터 제품의 정확한 진단 기능이 타사 대비 강점으로 다가왔다”며 시큐레터 솔루션 도입의 이유를 설명했다.
①, ②번의 경우는 사내 보안 정책으로 해결할 수 있지만 ③, ④번의 경우는 자동화된 동적 행위 분석 솔루션을 도입하더라도 사용자 행위 트리거를 인지하지 못하고 정해진 실행 환경에서만 악성 유무를 판단하기 때문에 그 틀을 벗어나는 조건일 경우 행위 탐지가 어렵다.
BNK부산은행 정보보호부 김민준 대리는 “시큐레터 솔루션 도입 후 현재까지 악성코드 진단 시 과탐(과잉 탐지)을 최소화하고 높은 진단율을 보이는 것이 인상적이다. 이메일·망연계 구간에서 악성코드 진단 속도가 매우 신속하기 때문에 업무 지연이 발생하지 않아 사용자들의 만족도가 높다”고 실제 사용 경험을 언급했다.
BNK부산은행은 2016년 국내 금융권 최초로 사이버 공격에 대응하는 독자적인 정보 보호 통합관제플랫폼을 구축했다. 통합관제플랫폼은 정보 보호 시스템 운영에 사용되는 모든 장비에서 발생한 로그(개인정보 보호, 이메일 사이버 공격, 장비의 보안 취약점)들을 수집하고 전체적인 보안 위협을 연관 분석 및 시각화해 효과적으로 관제하는 업무를 추진하고 있다.
시큐레터 임차성 대표는 “BNK부산은행 도입 사례를 통해 시큐레터 솔루션이 이메일·망연계 구간 APT 보안 및 CDR 분야에서 효과적으로 사용됨을 확인할 수 있었다. 올해 많은 금융권에서 망연계 및 CDR 도입을 추진 중인 만큼 시큐레터 솔루션이 금융 정보 보호 강화를 위해 다양한 곳에 적용될 수 있을 것으로 기대한다”고 말했다.
