[컴퓨터월드] 소프트캠프(대표 배환국)가 파트너사인 더보안(대표 전익찬)과 공동으로 ‘실덱스 세미나’를 개최했다. 이번 ‘실덱스 세미나’는 ‘Beyond Detection, CDR’을 콘셉트로 ‘탐지 기술의 한계를 넘어서 문서형 악성코드에 선제적으로 대응하는 기술 CDR’이란 주제로 진행됐다. 세미나에서는 최신 사이버 위협 동향과 더불어 최근 보안시장에서 주목받고 있는 콘텐츠 무해화(CDR: Content Disarm & Reconstruction) 기술 소개, ‘실덱스(SHIELDEX)’ 제품 소개 및 기술 시연, 제1 금융권 도입 사례 등이 발표됐다.

이번 세미나에는 금융기관, 공공기관, 제조사, 일반기업 등 다양한 산업군의 CISO와 보안 담당자들이 참석했다. 최신 보안 시장 트렌드와 CDR 기술에 대해 살펴볼 수 있었던 ‘실덱스 세미나’ 현장을 들여다본다.

문서 내 악성코드 막기 위해 CDR 기술 개발

이번 세미나는 배환국 소프트캠프 대표의 환영사로 시작했다. 배환국 대표는 “사이버 위협 대응 방안에 대한 관심이 점점 높아지고 있다. 금융기관과 관공서 등은 망 분리를 하는 등 다양한 방식의 보안 체계를 구축하고 있지만, 그럼에도 랜섬웨어와 같은 사고는 지속적으로 발생하고 있다”며 최근 발생한 글로벌 가상화폐 거래소 해킹 사고를 예로 들었다. 배 대표에 따르면 이 사고는 직원이 악성코드가 담긴 문서를 열어 감염됐다.

배 대표는 이어 “소프트캠프는 20년간 문서 보안에 집중해 왔으며, 문서 내 포함된 악성코드를 막기 위해 고심하다가 외부에서 들어오는 문서를 콘텐츠만 꺼내 다시 만드는 CDR 기술의 아이디어를 착안했다. 5년 전 처음 개발할 때만해도 기술 명칭이 없었으나, 최근 가트너에서 CDR로 명명하는 등 시장의 관심도가 높아지고 있다”면서 CDR 기술의 중요성을 강조했다.

“사이버 위협 대응, 탐지에서 무해화로 발상의 전환 필요”

첫 번째 발표자로 나선 전익찬 더보안 대표는 CDR 기술을 소개했다. 전익찬 대표는 기원전 3세기 중엽부터 2세기 중엽까지 약 100년에 걸쳐 일어난 로마와 카르타고의 포에니 전쟁에 대해 얘기하면서 발표를 시작했다. 전 대표는 “포에니 전쟁에서 카르타고의 장군인 한니발은 코끼리 부대를 이끌고 알프스 산맥을 넘어 로마를 공격했다. 로마의 스키피오 장군은 이베리아 반도와 카르타고 본국을 공격함으로써 포에니 전쟁을 승리로 이끌었다. 이들의 공통점은 기존의 관행과 통념을 깨고 발상의 전환을 이룬 전략가라는 점”이라고 설명했다.

사이버 보안 분야에서도 발상의 전환이 필요하다는 것이 전 대표의 주장이다. 전 대표는 “기존 탐지 위주의 보안 체계를 벗어나야 한다. 지난해 기업을 대상으로 한 신종 멀웨어 탐지 건은 7,182만 개로 전년 대비 79% 증가했다”면서, “멀웨어의 주요 벡터는 이메일인 것으로 조사됐다. 또한 체크포인트 발표에 따르면 올해 가장 큰 위협이 되는 것도 스피어피싱으로 나타났다”고 말했다.

전 대표에 따르면, 국내 기업 및 기관들은 사이버 위협에 대응하고자 복합적인 대응체계를 갖추고 있다. 비유를 하자면 쏟아지는 빗속에서 우산을 쓰고 있는 것과 같다. 하지만 우산을 쓴다고 100% 비를 막아낼 수 있는 것은 아니다. 사이버 공격자들은 기업이 갖추고 있는 보안 체계를 이해하고 있으며, 이를 우회하거나 대응할 수 있는 방안을 개발하고 있다. 동적 분석 기반의 샌드박스(Sandbox) 솔루션은 지능형 지속 위협(APT) 공격에 대응하는 기술로 주목 받았지만, 사이버 위협에 완벽하게 대응하지 못하고 있다. 샌드박스 솔루션을 인식하고 우회하는 악성코드가 나오고 있기 때문이다.

이에 탐지 및 대응 기반의 기존 보안체계가 아닌 새로운 발상이 필요하다. 미국의 정보보안 학자 도로시 데닝(Dorothy E. Denning)은 2017년 10월 발표한 논문을 통해 “능동적인 사이버 방어는 아군과 아군의 자산에 대한 사이버 위협을 없애거나, 무해화하고 위협을 낮추기위해 취하는 직접적인 방어 조치다. 미사일을 방어하기 위해서는 날아오는 것을 탐지(Passive Defence)하는 것 뿐만 아니라 영공으로 들어온 것을 격추(Active Defence)해야 한다”고 밝혔다.

전 대표는 검문 시스템과 방역 시스템을 예로 들며, CDR 기술을 소개했다. 가트너에서 정의한 CDR은 ‘문서 파일 내 잠재적 위협 요소를 제거(Disarm)한 후, 안전한 콘텐츠만 추출해 문서를 재조합(Reconstruction) 하는 기술’이다. CDR의 프로세스를 살펴보면, 먼저 문서 파일의 포맷을 확인한 후 구조를 분석한다. 이어 문서 구성 요소를 추출해 올바른 요소인지 검증하고, 올바른 요소만으로 문서를 재구성한다.

한 예로 문서 파일의 취약점을 악용한 공격 같은 경우, 사용자 눈에 보이지 않게 액티브X 컨트롤을 삽입하고, 해당 셀을 클릭시 악성코드에 감염되도록 한다. CDR 엔진에 해당 파일을 올리면, 액티브X 컨트롤이 제거된다.

전익찬 대표는 “CDR 기술을 사용하면 ▲문서 기반 악성코드에 대해 선제적인 대응 가능 ▲유입되는 모든 파일 및 경로에 대한 방역 ▲문서에 대한 제로데이 공격 대응 등 이점이 있다”고 설명했다. 이어 “일본의 경우 연금기금에서 개인정보 유출 사고가 발생했으며, 이를 기점으로 문서 무해화 지침이 만들어졌다. 이외에도 미국, 호주, 이스라엘 등에서 CDR 기술 도입 지침 발표 및 도입을 의무화하고 있다”고 덧붙였다.

외부 위협으로부터 방어하는 ‘실덱스’

하정호 소프트캠프 실덱스사업부 본부장은 ‘CDR 제품 소개’를 주제로 발표했다. 하정호 본부장은 ‘실덱스’ 제품 라인업을 소개하면서, “‘실덱스(SHIELDEX)’라는 이름은 방어라는 의미의 ‘Shield’와 외부라는 의미의 ‘ex-’를 합성한 것으로, ‘외부 위협으로부터 방어한다’는 뜻을 담고 있다”고 말했다.

하 본부장에 따르면, ‘실덱스’는 4가지 제품 라인업을 구성하고 있다. ▲망연계 전송 CDR 솔루션인 ‘새니트랜스 넷(SaniTrans Net)’ ▲이메일 수신 CDR 솔루션 ‘새니트랜스 메일(SaniTrans Mail)’ ▲외부 업로드 CDR 솔루션 ‘새니트랜스 FTMS(SaniTrans FTMS)’ ▲외부 저장매체 ‘게이트엑스캐너(GateXcanner)’ 등이 그것이다.

‘새니트랜스’는 CDR이라는 용어가 정의되기 전 ‘콘텐츠 방역(Contents Sanitization)’이라는 용어를 사용할 때의 제품군이다. CDR 용어가 정의된 이후 ‘실덱스’ 라인업으로 재구성됐다. 망연계 전송 CDR 솔루션 ‘새니트랜스 넷’은 인터넷망에서 업무망 파일 유입 구간에 설치해 사용할 수 있다. 또한 기존 망연계 시스템과 연동이 가능하며, 안전한 전송을 위해 IEEE1394, Sftp를 활용한다. 더불어 파일 입반출에 대한 자체 승인시스템을 갖추고 있으며, CDR 및 블랙&화이트리스트 관리가 가능하다.

‘새니트랜스 메일’은 이메일 구간 무해화를 지원하며 본문, 첨부파일, URL을 무해화한다. 메일 서버 앞단에 설치되며 CDR 처리후 SMTP 릴레이 설정으로 전달한다. CDR 로그 관리 및 정책센터, 시스템 관리 등도 제공한다. ‘새니트랜스 메일’을 통해 무해화된 메일은 상단에 ‘Sanitized by SHIELDEX’ 로고가 표기된다.

‘새니트랜스 FTMS’는 외부에서 각종 문서파일을 업로드할 때 무해화할 수 있다. 파일 공유 서버 뒷단에 설치되며, 안전한 전송을 위해 IEEE1394 등을 활용한다. 공공기관 대민 서비스를 위한 파일 업로드, 기업간 자료 전송 체계 등에 활용할 수 있다.

‘게이트엑스캐너’는 외부에서 유입되는 휴대용 저장매체에 저장된 파일을 무해화한다. USB, CD, 외장하드 등을 ‘게이트엑스캐너’ 키오스크를 통해 무해화한 후, 안전이 확보된 광디스크로 전환해준다. 폐쇄망 패치 전달, 물리적 망분리에 대한 파일 전송 등에 활용할 수 있다.

비대면 업무에도 CDR 기술 적용 검토

권정혁 소프트캠프 실덱스사업부 이사는 ‘실덱스 시연’을 진행했다. 권정혁 이사는 ‘실덱스’ 체험사이트를 통해 CDR 기술을 시연했다. 해당 홈페이지에 파일을 업로드하면 무해화된 파일을 다운로드 받을 수 있다. 이번 시연에 사용된 파일은 6MB 크기의 HWP 문서였으며, 무해화한 후 2MB로 파일크기가 변했다. 액티브X 컨트롤 등이 삭제되면서 파일 크기가 줄어든 것이다. 해당 파일을 무해화하기 전과 후 바이러스토털에 조회한 결과, 처음에는 악성코드를 포함한 문서로 탐지됐으며 무해화 한 뒤에는 정상 문서로 확인됐다.

‘새니트랜스 메일’은 메일이 유입될 때 ‘실덱스’를 거쳐 무해화한다. 암호화된 파일은 텍스트로 변환해 보여주며, 복호화를 위한 키를 입력하면 ‘실덱스’ 서버에서 복호화 및 무해화를 진행한 뒤 파일을 제공한다. URL의 경우 악성 및 정상 여부를 판단할 수 있는 엔진으로 보내, 위험여부를 분석한다. 악성 URL로 확인되면 정보를 보여주고 차단하는 절차로 진행된다.

이번 세미나에서는 제1금융권 도입사례도 공유됐다. 제1금융권 관계자는 “망분리 환경에서 자료연계시스템에 CDR 기술을 적용하고 있다. CDR 기술을 적용한 후, 들어오는 파일 종류에 대한 통계를 낼 수 있었다. 업무에 필요하지 않은 파일이 유입되는 것을 막을 수 있었고 파일 사용자 입장에서는 안전하게 사용할 수 있고, 관리자 입장에서는 들어오는 파일을 실시간 모니터링할 수 있었으며, 파일 전파 기록도 파악할 수 있다는 게 좋았다. 이후 비대면 업무에도 CDR 기술 적용을 검토하고 있다”고 말했다.