[무해화·격리②] 문서기반 공격 대응위한 CDR

홈 > 뉴스 > 뉴스 > 보안

[무해화·격리②] 문서기반 공격 대응위한 CDR

외부 유입 파일의 악성 액티브 콘텐츠 제거해 안전한 문서만 유입…망분리·클라우드에 최적

관련기사

[무해화·격리①] ‘제로 트러스트’ 실현하는 무해화

2019년 10월 17일 09:12:01

김선애 기자

iyamm@datanet.co.kr

[데이터넷] 최근 가장 문제가 되는 ‘문서 기반 공격’에 대응하는 가장 효과적인 방법으로 ‘콘텐츠 무해화(CDR)’가 있다. 외부에서 유입된 파일 타입을 확인하고 오브젝트별로 분해해 악성행위가 일어날 가능성이 있는 모든 요소를 제거한 후 원본 파일과 동일하게 깨끗한 문서로 재조합하는 기술이다.

가트너는 CDR이 샌드박스를 보완할 수 있는 기술이라고 소개한다. 샌드박스 회피 기술을 사용하는 공격에 대응할 수 있도록 CDR을 이용할 수 있다고 설명한다. 이메일 게이트웨이에 설치하거나 파일 서버구간 정화, 웹 다운로드 파일 정화, 콘텐츠 플랫폼 연동, 외장 디바이스 정화 등에 사용할 수 있다.

초기 CDR은 안티바이러스 기업들이 파일에서 매크로를 제거하는 시도를 하면서 시작됐으며, 시만텍 엔드포인트 보안 솔루션에 탑재된 ‘디스암’ 기능이 대표적이다. CDR이 독립 솔루션으로 등장한 것은 2010년 이스라엘 보안 기업 보티로가 첫 시작이었으며, 2014년 미국의 보안기업 옵스왓의 멀티백신 엔진 ‘메타디펜더(MetaDefender)’가 데이터 살균과 무해화 기능을 추가했다. 국내에서는 2013년 소프트캠프가 ‘실덱스(SHIELDEX)’를 출시하고 시장을 개척해왔으며, 2017년 지란지교시큐리티가 ‘새니톡스(SaniTOX)’를 공개하면서 CDR 시장에 뛰어들었다.

CDR은 외부 유입 콘텐츠에 대한 ‘제로 트러스트’ 보안 모델을 적용할 수 있는 기술로 주목되고 있으며, 일본, 미국, 호주, 이스라엘 등에서는 CDR을 의무화하는 규정을 제정하면서 시장 성장을 촉진하고 있다. 현재 전 세계 CDR 시장은 2019년 1800억원 규모에서 2025년 4000억원 규모로 연평균 14.21% 성장할 것으로 기대된다.


▲CDR 프로세스(자료: 소프트캠프)

막 열린 국내 CDR 시장

국내 CDR 시장은 이제 막 시장이 열리기 시작한 상황으로, 지난해부터 소규모 시범사업이 시작돼 올해 실제 성과를 입증하고 있으며, 내년부터 본격적으로 예산이 투입돼 성장을 시작할 것으로 보인다.

국내에서는 망분리 환경에서 내부망으로 유입되는 문서의 무해화를 위해 CDR이 제안되고 있다. 망분리는 업무망과 인터넷망을 분리해 인터넷을 통한 외부 위협을 차단하고 있지만, 인터넷망과 업무망 간 자료전송을 위한 망연계 구간을 통해 공격이 침투할 수 있다. 실행파일 형태의 악성코드는 망연계 시스템에서 차단하지만, 비실행파일 형태의 악성코드는 차단되지 않고 유입될 수 있다. 특히 업무 관련 문서로 위장한 악성문서는 망연계 시스템에서 탐지하지 못한다. 망연계 시스템에 CDR을 연동시키면 악성 콘텐츠를 제거한 안전한 문서만 내부망으로 전송될 수 있어 내부망을 노리는 공격을 원천 차단할 수 있다.

이외에도 CDR은 이메일 게이트웨이, 파일서버에 적용돼 문서의 유해 요소를 제거하고 안전한 문서만 사용자에게 전달하도록 구성된다. 높은 보안 수준이 요구되는 연구소 등에 우선 적용되고 있으며, 공공·금융기관에서도 성공사례를 꾸준히 확보하면서 시장을 성장시키고 있다.

공공기관 도입 사례를 소개하면, 민원 게시판에 업로드 된 첨부파일을 무해화 하는 것을 들 수 있다. 민원 게시판에 업로드 된 자료를 담당자가 확인하고 처리하기 위해서는 내부망에서 해당 자료를 열어봐야 한다. 이 자료에 악성코드가 숨어있다면 망연계 시스템에서 제거하지 못하고 내부망으로 그대로 들어와서 내부망을 감염시킬 수 있다. CDR은 망연계 구간 앞단에서 이와 같은 위협을 제거할 수 있다.

금융기관의 사례로는 전자계약서 등을 들 수 있다. 고객이나 협력업체가 악성코드가 숨어있는 전자계약서를 업로드 했을 때 이를 탐지하고 제거하지 않으면 내부망을 보호할 수 없다. 고객, 협력업체가 보내는 계약서의 무결성을 검증하기 위해 CDR이 적용될 수 있다.

인터넷이나 언론사에서 제공하는 이미지와 동영상에 악성코드가 삽입돼 있는 경우도 상당히 많다. 이미지·동영상 파일이 아니라 외부 링크를 통해 공유되는 경우 악성코드를 유포하는 사이트로 리다이렉트되어 감염될 수도 있다. CDR은 이러한 악성코드나 악성링크를 제거하고 안전한 원본 파일만 공유할 수 있도록 지원한다.