[망분리 보안⑤] 지능형 공격 탐지 기술 ‘필수’
상태바
[망분리 보안⑤] 지능형 공격 탐지 기술 ‘필수’
  • 김선애 기자
  • 승인 2018.07.17 09:30
  • 댓글 0
이 기사를 공유합니다

파일리스 악성코드 탐지 기술 ‘주목’…써드파티 개발 SW 보안 방법 마련해야

망분리를 맹신하는 것은 위험하다. 망분리의 망연계 구간과 엔드포인트는 일반 업무환경보다 오히려 더 위험한 상태에 놓여있다. 망분리 후 협력사에 데이터를 전송할 때 평문으로 보내는 경우도 비일비재하다. 현재 망분리 환경의 보안 위협을 살펴보고, 이를 해결할 수 있는 방법을 소개한다.<편집자>

망연계, 백신만으로 부족하다

망연계 구간의 보안 취약점이 문제가 되면서 망연계 솔루션도 보안을 강화하는 기술을 탑재하고 있다. 백신은 기본으로 탑재하고 있으며, 일부 고객은 멀티백신 엔진을 사용해 모든 알려진 공격을 차단하고자 한다. 위협 인텔리전스를 이용하기도 하고 APT 방어 솔루션을 사용하기도 한다.

그러나 이것만으로는 부족하다. 공격이 가장 많이 발생하는 곳이 망연계 구간이지만, 업무 시스템이나 대민 업무 시스템, 외장장치 등에서도 악성코드가 유입된다. 알려진/알려지지 않은 취약점, 제로데이 공격, 악성 문서를 이용한 공격도 상당수에 이른다.

최근 증가하고 있는 파일리스 악성코드는 백신이나 샌드박스로 차단할 수 없다. 파일리스 악성코드는 공격 대상 PC 하드드라이브에 파일을 다운로드하지 않으며, PC에 설치된 실행파일로 악성행위를 수행한다. 악성 파워쉘 스크립트가 그 대표적인 예로, 레드스톤소프트에 따르면 2016년 5만여개의 악성 파워쉘 스크립트가 발견됐다.

시그니처에 등록된 악성코드라 할지라도 이를 인코딩하면 백신은 탐지하지 못한다. 멀티백신을 돌려도 인코딩된 악성코드는 찾아내지 못한다. 샌드박스는 파일을 동작시켜 악성행위가 나타나는지 확인하는 시스템으로, 정적인 문서에 들어있는 위협은 탐지하지 못한다. 또한 특정 프로그램의 버전에만 있는 취약점을 이용해 공격하면 샌드박스가 그와 동일한 환경에서 분석하지 않으면 공격을 진단하지 못한다.

보통 망분리 환경에서는 exe 실행파일이나 zip 파일은 차단하도록 정책이 설정돼 있기 때문에 업무망으로 침투하려는 공격자는 비실행파일(Non-PE) 파일 형태로 침투한다. 비실행파일은 시그니처와 행위기반 탐지 기술을 우회하기 때문에 백신, 샌드박스로는 막을 수 없다.

비실행파일 분석으로 지능형 공격 차단

비실행파일 방식 공격 분석에 높은 전문성을 갖고 있는 시큐레터는 리버스 엔지니어링으로 익스플로잇 트리거를 찾아내는 기술을 자동화한 패키지 ‘SLE(SecuLetter Email)’, ‘SLF(SecuLetter FileServer)’, 그리고 클라우드로 제공되는 ‘SLCS(SecuLetter Cloud Service)’를 출시하고 영업을 전개하고 있다. 또한 망연계 솔루션 기업과 협업해 망분리 시장을 공략한다.

시큐레터가 가진 장점은 고급 악성코드 분석 전문가의 역량을 솔루션에 넣었다는 것이다. 악성코드 분석가들은 악성 콘텐츠로 의심되는 파일을 메모리에 로딩 시킨 후 익스플로잇을 발생시킴으로써 악성 파일 여부를 진단한다. 이 과정을 자동화해 솔루션을 개발했으며, 조만간 CDR 기술까지 추가해 기존 보안솔루션으로 탐지하지 못하는 공격을 차단할 수 있도록 할 계획이다.

임차성 시큐레터 대표는 “리버스 엔지니어링 기술과 CDR이 결합하면 업무망 침투를 시도하는 공격의 상당부분을 차단할 수 있다”며 “또한 분석 속도도 압도적으로 빨라 거의 실시간에 가깝게 악성 여부를 판단할 수 있다”고 말했다.

CDR은 문서에서 액티브 콘텐츠를 제거하지만 익스플로잇을 탐지하지 못한다. 예를 들어 특정 폰트에서만 나타나는 취약점은 CDR로 해결할 수 없으며, 이를 해결하기 위해서는 해당 폰트를 다른 폰트로 바꾸어야 하는데 이 때 문서 포맷이 훼손돼 업무에 지장을 줄 수 있다. 시큐레터는 문서에서 악성행위를 할 가능성이 있는 액티브 콘텐츠만을 제거하고, 리버스엔지니어링으로 익스플로잇을 탐색한 후 정상문서일 경우에만 업무망에서 사용할 수 있도록 한다.

임차성 대표는 “망분리 시장에서 시큐레터 제품이 크게 주목을 받고 있으며 공공기관 등 다수의 고객사에 공급되는 성과도 올렸다. 망연계 솔루션과 함께 공급되면서 시장을 확산하고 있다”며 “시큐레터의 기술은 전 세계에서 유일하며, 경쟁력도 높다. 올해 국내 시장을 단단하게 다진 후 내년부터 미국 등 글로벌로 진출할 것”이라고 말했다.

한편 시큐레터는 조달청 나라장터에 입점하면서 공공기관 공략을 강화하고 있다.

▲ 파티 개발 소프트웨어의 내부망 적용 프로세스(자료: 소프트캠프)

무해화·격리로 악성 문서·웹 차단

CDR은 최근 사이버 공격이 악성문서를 이용하게 되면서 부상하고 있는 기술이다. 문서에서 액티브 콘텐츠를 제거하고 안전한 콘텐츠만으로 새롭게 문서를 조합하는 기술로, 매크로와 같은 문서의 정상 기능을 이용하는 악의적인 공격을 막을 수 있다.

CDR은 이스라엘 보티로가 가장 먼저 상용화했으며, 국내에서는 소프트캠프가 2013년 ‘실덱스(SHIELDEX)’를 출시하고 시장을 개척해왔다. 소프트캠프는 20여년간 문서보안 솔루션을 공급해 온 전문성을 바탕으로 실덱스를 개발했으며, 다양한 문서와 업무환경에 최적화된 무해화 기술을 제공한다.

망분리 환경에 적합한 ‘실덱스 새니트랜스 넷(SHIELDEX SaniTrans Net)’은 망연계 구간으로 유입되는 파일을 재구성해 반입하는 망연계 파일전송 시스템이다. 이메일을 위한 ‘실덱스 새니트렌스 메일(SHIELDEX Sanitrans Mail)’은 메일 본문, 첨부파일을 무해화한다. 또한 실덱스는 키오스크와 같은 폐쇄망 환경을 위해 USB로 전달되는 파일도 무해화하는 솔루션도 공급하고 있다.

실덱스는 우리나라 군, 공공기관, 은행 등 다수에 공급됐으며, 일본에서는 사카도시청을 비록한 지방자치단체, 교육기관 등에 공급돼 시장을 리딩하고 있다.

소프트캠프는 망분리 환경 보호를 위해 브라우저와 문서를 격리하는 ‘에스워크 에프웍스(S-Work FX)’ 제품도 소개한다. 의심스러운 웹 접속을 시도하거나 문서를 열람하고자 할 때 원격의 가상환경에서 실행함으로써 업무에 불편을 주지 않고 PC를 안전하게 보호한다.

더불어 써드파티 개발사와 개발자로 인한 보안위협에 대응할 수 있는 ‘엑스 스캔(EX-Scan)’도 소개한다. 외부에서 개발한 프로그램을 감염시키는 시도를 차단할 수 있는 엑스스캔은 망분리 환경에서 배포·설치되는 프로그램의 의심행위를 검출학 관리한다. 악성코드로 의심되는 행위를 분석하고, 개발된 프로그램의 주요/세부 기능을 분석한다. 패치파일의 경우 변경 비율을 산정해 비정상적으로 많은 변경이 발생했다면 격리하고 정밀분석 할 수 있도록 한다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.