“장인정신으로 비실행파일(Non-PE)에 숨은 악성코드를 찾아내겠다.”
임차성 시큐레터 대표는 이렇게 말하며 “모든 공격을 다 막을 수 있는 완벽한 보안 기술은 없다. 다만 비실행파일 형태로 유입되는 공격에 대해서는 시큐레터가 대안을 제시할 수 있다”고 자신했다.
시큐레터는 문서와 같은 비실행파일에서 익스플로잇 트리거를 찾아 공격을 탐지하는 특화된 기술을 갖고 있다. 악성문서는 시그니처에 없는 신·변종 공격도구를 사용해 백신을 무력화하고 가상환경을 인지해 샌드박스 분석을 우회한다. 또한 특정 문서 버전의 폰트 취약점을 이용하거나 문서를 열어본 후 2~3페이지가 지나서 실행되도록 하는 등 다양한 방법으로 보안 분석을 피해간다.
이러한 방식으로 진행되는 공격은 보안 기술로 막기가 매우 어렵다. 시큐레터는 비실행파일에서 익스플로잇을 일으킨 후 역분석해 공격 여부를 알아내는 특별한 기술로 이와같은 지능형 공격을 차단한다.
임차성 대표는 “악성코드 분석가가 악성문서를 분석할 때 익스플로잇을 발생시켜 역분석하는데, 시큐레터는 이 과정을 자동화해 패키지 솔루션으로 완성시켰다. 비실행파일만을 분석하기 때문에 오탐 없이, 빠르게 분석이 가능하다”며 “역분석으로 익스플로잇을 찾아내는 기술은 전 세계에서도 시큐레터가 유일하다. 이러한 장점 때문에 지난 3월 미국 샌프란시스코에서 열린 세계 최대 보안 컨퍼런스인 ‘RSA 2018’에 주목할만한 스타트업이 참가할 수 있는 ‘얼리 스테이지 엑스포’에 참가하게 됐다”고 설명했다.
망분리 보안 강화하는 제품으로 ‘주목’
시큐레터 제품은 ‘시큐레터 이메일(SLE)’, ‘시큐레터 파일서버(SLF)’, ‘시큐레터 클라우드 서비스(SLCS)’로 구성돼 있으며, 다수의 공공기관에서 사용하고 있다. 금융권, 대기업 등에서도 도입을 검토하는 중이다.
특히 시큐레터 솔루션은 망분리 보안을 강화하는 보안 솔루션으로 주목받고 있다. 공공기관의 예를 들어 보면, 민원 게시판에 민원인이 첨부파일을 게시하고, 공공기관 담당자가 이를 확인해 업무망으로 보냈다가 악성코드에 감염될 수 있다. 공격자가 민원 게시글로 위장해 악성문서를 제작했을 수도 있지만, 민원인의 PC가 감염돼 생성되는 문서에 악성코드가 주입됐을 수도 있다. 업무 담당자의 인터넷PC가 감염돼 생성되는 문서에 악성코드가 감염돼 있고, 이를 인지하지 못한 상태에서 업무망으로 전송해 업무망으로 악성코드가 전파될 수도 있다.
이 같은 악성코드는 망연계 보안 시스템을 우회하도록 설계돼 있다. 대부분의 망연계 시스템은 악성코드로 사용될 수 있는 실행파일(PE)이나 압축파일(ZIP)은 업무망으로 보낼 수 없도록 한다. 그래서 공격자들은 비실행파일을 이용하는데, 현재 비실행파일의 악성코드를 전문적으로 분석하는 솔루션은 없다.
임차성 대표는 “망분리 환경은 결코 안전하지 않다. 망분리 보안 정책을 우회해 공격할 수 있는 방법은 무수히 많다. 특히 문서의 다양한 취약점을 이용하는 것이 현재 가장 유행하는 공격 방식”이라고 지적했다.
임 대표는 “시큐레터는 망분리, 망연계, 이메일 보안 솔루션 기업 등과 협력해 고객의 망분리 환경을 안전하게 보호할 수 있도록 지원하는데 힘쓰고 있다. 또한 문서 악성코드를 제거한 후 새로운 문서로 조립하는 CDR 기술도 개발 중이며, 시큐레터 솔루션과 연동해 지능적인 공격으로부터 고객을 보호하겠다”고 말했다.
