파일 구조 분석해 액티브 콘텐츠 영역 탐지 및 비활성화

[컴퓨터월드] 최근들어 사회공학적 기법을 활용한 지능형 지속 위협(APT: Advanced Persistent Threat) 공격이 증가하고 있다. 특히 문서, 이미지 등 정상적인 파일에 악의적인 콘텐츠를 삽입해 기존의 보안솔루션을 우회하는 공격이 늘어나고 있어 문제가 되고 있다. 이런 사회공학적 기법을 활용한 공격에 대응하기 위해서는 e메일 등 외부로부터 유입되는 파일을 검증하는 것이 중요하다. 지란지교시큐리티의 ‘새니톡스’는 콘텐츠를 무해화함으로써 지능형 위협으로부터 사용자를 보호한다. <편집자 주>

 

▲ 지란지교시큐리티 ‘새니톡스’

 


파일 구조 분석해 악성코드 제거하는 ‘새니톡스’

 

‘새니톡스’는 문서 기반의 표적형 악성코드에 대해 CDR(Content Disarm & Reconstruction) 기술로 파일 구조를 분석, 악성코드로 활용 가능한 액티브 콘텐츠 영역만을 탐지해 제거(비활성화)함으로써 문서의 원본성을 보장하는 콘텐츠 악성코드 무해화 솔루션이다.

 

▲ 새니톡스 어플라이언스 개념도

‘새니톡스’에 적용된 CDR 기술은 파일 내 실행 가능한 액티브 콘텐츠(Macro, JavaScript, Embedded Object 등)를 원천 제거하거나 비활성화 후 안전한 파일로 재조합한다는 개념으로, 파일 내 실행 가능한 콘텐츠를 통해 발생할 수 있는 잠재적 위협을 원천적으로 예방할 수 있는 보안 기술이다.

 

▲ CDR 기술 개념(매크로 코드 무해화)

IT 리서치 전문기관 가트너가 2016년 발표한 보고서에 따르면, 보안 e메일 게이트웨이(Secure Email Gateway) 시장에서 지속형 위협 방어(ATD: Advanced Threat Defense) 솔루션으로 네트워크 샌드박스와 CDR을 함께 추천하면서, 첨부파일 형태의 공격 대응 기술로 CDR이 주목받기 시작했다. 첨부파일 형태로 시도되는 문서 기반의 공격은 사용자의 행동을 쉽게 유도하기 때문에, 최근까지도 공격자들이 빈번하게 이용하고 있다. CDR은 기존 보안 환경을 우회(신종, 변종 등장, 샌드박스 우회 기술)하는 이러한 공격을 방어하기 위한 기술로 각광받고 있는 것이다.


‘새니톡스’의 필요성

1) 실행파일에서 비실행파일(문서)로 공격자들의 공격 패턴 변화
전통적인 악성코드 공격은 실행파일(exe 등) 또는 스크린세이버(scr) 등의 실행 가능한 파일을 통해 시도됐다. 그러나 많은 안티바이러스(Anti-Virus) 및 기업 보안 정책에 의해 차단되면서 실행파일을 통한 공격은 축소되는 추세다. 최근 공격자들은 e메일, 웹 등 기업의 업무 프로세스 과정에서 외부와의 문서 및 이미지 파일 교환이 빈번하게 이뤄지는 특징을 이용해, 파일에 악성 콘텐츠를 삽입하는 형태로 공격하고 있다.

2) 정상 문서를 이용한 악성코드 공격의 성행
문서 내 정상적으로 사용되는 액티브 콘텐츠(Macro, JavaScript 등)를 삽입하거나 실행 파일을 문서 내 첨부하는 등 정상 문서인 것처럼 위장한 후 사용자에게 실행을 유도하는 형태의 표적형 공격이 확대되고 있는 추세다.

액티브 콘텐츠는 문서 내 정상적인 기능이기 때문에 안티바이러스와 같이 기존의 알려진 악성코드 패턴 데이터베이스를 이용한 패턴매칭 방식의 탐지 기술로는 방어에 한계가 있을 수밖에 없다. 특히 가상 환경에서 직접 실행해 행위 분석을 통해 악성 유무를 판별하는 샌드박스를 우회하는 기술이 발전하면서, 샌드박스 역시 지능화된 공격 대응에 있어 한계를 보이고 있다.

이미지 파일에 숨어 있는 스테가노그래피 기법을 이용한 악성 이미지 파일 역시 기존 안티바이러스 및 샌드박스에서 탐지하는데 한계가 있기 때문에 실질적인 피해로 이어질 가능성이 크다.

 

▲ 안티바이러스 스캐닝 테스트


새니톡스 특장점 및 경쟁력

기존 보안솔루션에 비해 ‘새니톡스’의 강점은 ▲신종위협에 대한 대응성 ▲빠른 분석 및 처리 속도 ▲자체 기술 개발을 통한 경쟁력 ▲파일 원본성 보장 ▲단일 장비에서 웹, 파일 서버 연동 지원 등을 꼽을 수 있다.

먼저 신종위협에 대한 대응성 측면에서 CDR 기술은 정상/악성 판단 없이 파일 내에 포함돼 있는 실행 가능한 액티브 콘텐츠 구성 요소 전체를 무해화하기 때문에 신종 위협에도 대응이 가능한 것이 특징이다. 더불어 안티바이러스처럼 패턴 DB를 필요로 하지 않는다.

‘새니톡스’에 적용된 CDR 기술은 빠른 처리 속도가 강점으로 문서 파일 크기 5MB 기준 평균 1~3초 정도가 소요되며, 액티브 콘텐츠의 양, 문서의 복잡도에 따라 처리 시간은 증가한다. 이는 처리 시간이 최대 몇 분씩 걸리는 샌드박스에 비해 월등히 빠른 처리 속도며, 처리 속도를 기준으로 하루 처리량 역시 기존 샌드박스보다 많다.

지란지교시큐리티는 자체 개발을 통해 기술 경쟁력을 확보했다. 공개돼 있는 오픈소스 소프트웨어 라이브러리에 대한 의존도가 높은 엔진을 이용할 경우, 해당 오픈소스 소프트웨어의 업데이트와 지원 등에 제약이 존재한다. ‘새니톡스’는 지란지교시큐리티가 자체 개발한 기술로 OS 지원 및 위협 정보 확보가 유리하다.
CDR 기술은 파일 원본성을 보장해 기존 보안 솔루션의 한계를 극복했다. 기존의 ‘파일 형식 변환’ 기술은 문서 파일의 원본 내용을 훼손하거나 편집이 불가능한 반면, ‘새니톡스’의 CDR 기술은 원본 파일 형식을 그대로 유지하기 때문에 업무 생산성을 보장한다. 고도의 파일 구조 분석을 바탕으로 액티브 콘텐츠를 제거 혹은 비활성화한 후 문서 구조를 재조합하기 때문에 원본 형식을 그대로 유지할 수 있으며, 무해화 요소에 대해 리포팅 혹은 상세 분석이 가능한 것이 특징이다.

더불어 단일 장비에서 웹, 파일서버 연동을 지원한다. ‘새니톡스’ 어플라이언스 제품의 경우 단일 장비에서 웹서버, 파일서버(SMB, FTP 등)와 같은 인터페이스를 지원함으로써 하나의 장비 운영으로 다수의 문서 파일 유입 채널에서 활용이 가능하다.


‘새니톡스’의 활용범위

‘새니톡스’는 ▲네트워크가 분리된 환경에서 외부망의 파일을 내부망으로 전달할 때 ‘새니톡스’ 어플라이언스와 연동해 유입되는 파일을 무해화 & 재조합 후 전달하는 형태 ▲외부 게시판을 통해 업로드된 파일을 내부망으로 다운로드 시(또는 업로드) ‘새니톡스’ 어플라이언스에서 파일에 대해 무해화 & 재조합 후 전달하는 형태 ▲스팸메일 차단 SW ‘스팸스나이퍼’와 연동을 통해, ‘스팸스나이퍼’에서 분리된 첨부파일을 ‘새니톡스’에서 무해화 & 재조합 후 다시 ‘스팸스나이퍼’로 전달, 메일서버로 무해화 파일을 첨부해 제공하는 형태 등으로 도입 가능하다.

 

▲ 새니톡스 어플라이언스 구성도

 

 

한편, ‘새니톡스’는 CDR 기술의 신규성, 독창성, 사업성을 인정받아 국내 정보보호 솔루션 분야의 2018년 우수정보보호기술(주관: 과학기술정보통신부, 한국인터넷진흥원)로 선정되기도 했다.

저작권자 © 컴퓨터월드 무단전재 및 재배포 금지