“비실행 문서파일 의심해보셨나요?” 전자문서 악성코드, 사전차단은 필수
“비실행 문서파일 의심해보셨나요?” 전자문서 악성코드, 사전차단은 필수
  • 김하늬 기자
  • 승인 2023.10.04 10:07
  • 댓글 0
이 기사를 공유합니다

[공학저널 김하늬 기자] 이제 전자문서가 사용되지 않는 곳은 없다. 공공부터 민간까지 디지털전환 가속화와 함께 문서는 모두 전자화되고 있다. 일반적으로 전자문서는 안전하다고 생각하는 경우가 많지만, 최근 금융보안연구원 사이버위협 인텔리전스 보고서에 따르면 이메일에 첨부된 문서파일을 통한 공격 비율이 70.6%로 가장 높게 나타나고 있다.

특히 사이버 공격이 비실행형 파일을 중심으로 변화하고 있어 각별한 주의가 요구되고 있는 실정이다. 공공과 금융, 기업의 문서들에도 악성코드가 심어져 언제든 공격해 올 수 있다는 것이다. 더욱이 생성형 AI를 이용한 악성 문서 제작과 피싱 메일의 자동화를 통해 공격의 대상과 패턴이 고도화되고 다양해지고 있어 이를 예측·대응하기가 쉽지 않은 상황이다.

이메일을 통한 악성코드 공격은 매크로, 자바스크립트 등 정상 기능을 이용한 해킹과 폰트, 표 속성 등 취약점을 타깃으로 비정상 기능을 이용한 해킹으로 나뉜다. 이러한 이메일 내 악성코드를 포함한 비실행 파일 보안 공격은 알려지지 않은 보안 위협에 속하기 때문에 기존 시그니처 및 행위 기반 보안 솔루션은 고도화되는 위협을 막기에 어려움이 따른다는 것이 전문가들의 의견이다.

이에 따라 알려지지 않은 새로운 패턴의 악성코드를 선제적으로 차단하기 위해 국내 사이버 보안 전문기업 시큐레터는 독자 개발한 핵심 기술을 통해 ‘MARS 플랫폼’을 완성했다. 회사의 핵심 기술은 자동화된 리버스 엔지니어링(Reverse Engineering, 역공학)으로 특정 파일의 입력-처리-출력 전 과정을 파악하고 이 가운데 보안 취약점의 위협을 탐지 및 차단하는 방식이다.

이 플랫폼은 어셈블리 레벨 분석을 통해 알려지지 않은 신·변종 악성코드에 빠르고 정확하게 대응한다. 비실행형 파일의 열람 없이도 악성코드 유입 전 선제적 방어가 가능한 것이 특징이다. 특히 한국정보통신기술협회 확인·검증시험에서 평균 진단속도 12초, 한국인터넷진흥원 성능평가에서 업계 최고 수준 악성파일 탐지율을 기록하기도 했다.

전통적인 보안 방식과 달리 프로그래밍 언어 단에서 악성파일을 조기에 포착한다는 점에서 차별화되는 기술로 손꼽히고 있다. 이뿐만 아니라 정부/금융기관 정보보호 지침을 준수한 진단방법으로서 이메일 보안, 망간 자료전송 보안, 웹서비스 보안, 문서중앙화 보안 등에 적용되고 있으며 적용 범위는 점차 확장될 것으로 전망되고 있다.

MARS 플랫폼은 차세대 콘텐츠 보안 위협 진단 플랫폼으로서 디지털 콘텐츠에 내재화된 보안위협을 진단하는 시큐레터의 3가지 핵심 진단 기술을 포함하고 있다. 핵심 기술은 위협분석(콘텐츠 식별·구조분석), 무해화(콘텐츠 무해화·재구성), 디버거 분석(콘텐츠 취약점 탐지·차단) 기술로 구성된다.

위협분석 기술은 정적분석 기술인 시그니처 조회, 암호화된 압축파일 진단, 메타 데이터, PE파일 진단에 대한 기술이다. 파일 식별, 파일 구조 분석, 객체 추출 및 탐지 기술, 이상 행위 탐지 기술, 사용자 행위 유발 기술, CTI(Cyber Threat Intelligence), AI(Artificial Intelligence) 등 시큐레터의 진단/분석 경험 및 노하우가 축적돼 있다.

무해화 기술은 시큐레터가 자체 개발한 CDR (Content Disarm and Reconstruction, 콘텐츠 무해화) 기술로 잠재적 위협에 선제 대응한다. 문서에 포함된 URL이나 매크로, 자바스크립트, Shellcode 등 액티브 콘텐츠를 식별해 실행 가능한 요소를 제거한 후 깨끗한 새 문서로 재조합함으로써 공격 가능성을 차단한다. 최근 주목받고 있는 제로트러스트 관점의 CDR 기술에 시큐레터만의 자동화된 리버스 엔지니어링 기반 악성코드 분석 기술을 결합한 점은 큰 차별점이라고 볼 수 있다.

마지막으로 디버거 분석 기술은 비실행형 파일의 보안 취약점을 최소 단위인 어셈블리 레벨에서 진단·분석한다. 행위를 기다리지 않고 가상 메모리에 로딩되는 순간 진단하기 때문에 진단속도를 대폭 단축하는 게 특징이다. 알려진 취약점을 탐지하는 ‘CVE 취약점 CPU 레벨 탐지 기술’과 알려지지 않은 취약점을 탐지하는 ‘취약점 발생원리 탐지, 메모리 분석, 프로세스 스택 분석, 프로세스 실행흐름조작(디버깅), 난독화 스크립트 디코딩 기술’로 구성되어 있으며, 가상환경을 회피하는 신·변종 악성코드도 분석해 기존 상용화된 솔루션보다 미탐·오탐율을 최소화했다.

시큐레터 임차성 대표이사(사진)는 “AI, 클라우드 플랫폼 등이 디지털화되고 있는 환경에서 안전한 전자문서 파일의 유통은 비즈니스 커뮤니케이션의 필수 요소”라며 “사이버 공격에 대응하기 위한 수많은 보안 솔루션이 있지만, 완벽한 단 하나의 솔루션은 없기 때문에 위협 단계에서 가장 뛰어난 기술을 가진 제품을 적절히 이용해 보안 위협에 대응하는 것이 필요하다”고 말했다.

시큐레터는 지난 2015년 설립 이후 기술적 차별성과 가격 경쟁력을 바탕으로 현재 40여 곳의 주요 공공기관과 100여 곳의 금융기관·기업 등 고객사를 확보하고 있다. 올해 기술특례 상장에 성공했으며, MARS 플랫폼을 통해 CC인증, GS인증, 중기부 우수연구개발 혁신제품 선정 등 성과를 얻기도 했다. 이와 함께 향후 기술적 측면에서 차별화를 모색하며 한국을 대표하는 글로벌 보안 기업으로 도약하기 위해 미국 등 해외시장으로 진출 계획을 수립하고 있다.

임 대표는 “시큐레터는 비실행형 파일의 악성코드 진단에 있어 전 세계적으로 독보적인 기술을 제공한다. 시큐레터 기술을 통해 보안 위협 완화 효과가 클 것”이라며 “앞으로도 지속적으로 기술을 고도화하고, 진화하는 공격에 대응하며 고객의 비즈니스를 보호하기 위해 노력할 것”이라고 전했다.

그는 이어 “올해는 기술특례 상장이란 큰 성과를 얻었고, 더 많은 고객에게 우리가 지향하고 있는 콘텐츠 보안이라는 카테고리를 소개하는 계기를 마련했다”며 “이에 그치지 않고 글로벌하게 적용할 수 있는, 기존에 없던 새로운 보안 카테고리를 만들어가려고 한다. 콘텐츠 보안 분야 글로벌 성공사례로 시큐레터가 첫발을 떼는 것을 응원해주시길 바란다”고 덧붙였다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.