‘제 22회 차세대 보안 비전 2023’ 세미나 Review
리버스 엔지니어링으로 위협 분석…실시간 가까운 탐지로 APT 방어
공격자는 똑똑하고 집요하다. 가장 쉽게 피해자를 속여서 침투할 수 있는 방법을 찾아낸다. 현재 사용되는 가장 효과적인 방법은 문서를 이용하는 것이다. 정상적인 업무 문서, 일상 생활에서 받아보는 전자고지 등으로 위장해 악성코드를 숨겨 보낸다. 사회공학 기법을 이용해 피해자가 열어보지 않을 수 없게 만든다. 최근 공격자들이 계정탈취, 취약점 공격을 많이 사용한다 해도 악성코드를 여전히 가장 많이 사용하며, 그 중에서도 비실행형 파일 형태의 악성코드, 특히 문서에 삽입하는 방식의 악성코드를 사용한다.
이승원 시큐레터 기술연구개발 총괄(CTO)는 “현대인의 주 업무는 문서이기 때문에 문서기반 공격의 성공률이 매우 높다. 제품소개서, 견적서, 발주서, 발표자료, 상급기관 업무협조 요청, 입주사와 투자사 관리비 납부 안내 등의 내용으로 문서를 보내면 열어보지 않을 수 없다”며 “디지털 콘텐츠는 비즈니스 커뮤니케이션의 필수 요소다. 따라서 사용자에게 악성문서를 주의하라고 강조할 것이 아니라, 안심하고 문서 업무를 할 수 있게 만들어야 한다”고 강조했다.
문서 취약점 공격, AV·샌드박스로 못 막아
이승원 CTO는 9일 열린 ‘제 22회 차세대 보안 비전 2023’에서 ‘해커와의 싸움- 누가 더 유리한 위치를 선점하는가’ 주제의 세션을 통해 문서기반 공격을 선제 차단하는 기술에 대해 상세히 소개했다.
공격자들은 문서의 매크로 기능을 이용하거나 문서 프로그램이 갖고 있는 취약점을 이용해 공격한다. 문서에 숨어있기 때문에 안티바이러스로 차단할 수 없고, 실행파일이 아니기 때문에 샌드박스 행위분석 기술로 탐지할 수 없다. EPP 솔루션들이 문서 악성코드까지 탐지할 수 있다고 하지만, 악성코드는 EPP를 쉽게 우회한다.
실제로 시큐레터가 탐지한 HWP 문서의 gbb.exe 취약점은 안티바이러스를 우회해 동작하도록 설계됐다. 이 같은 취약점은 해당 조직에서 사용하는 문서 프로그램의 종류와 버전, 사용하는 폰트 등을 파악해 해당 버전에 있는 취약점을 이용해 악성코드가 활성화되도록 한다. 이렇게 정교하게 타깃 맞춤형으로 진행되는 공격은 범용 보안 솔루션으로 막기 어렵다.
이승원 CTO는 “해커와의 주도권 싸움에서 이기기 위해서는 해커보다 더 유리한 위치에 있어야 한다. 시큐레터는 디버거 분석 기술을 이용해 해커의 행위를 트리거링 해 분석하고 빠르게 대응할 수 있다. 시큐레터의 리버스 엔지니어링 기술은 그 어떤 해커도 막을 수 없어 비실행형 파일을 이용하는 공격에 대해서는 가장 뛰어난 탐지·차단 기술을 제공할 수 있다”고 말했다.
종이 없는 환경에서 발생하는 위협도 차단
시큐레터의 리버스 엔지니어링 기술은 의심되는 파일에서 공격 행위가 일어날 수 있는 환경을 만들어 공격이 발생하면 이를 역분석해 공격의 동작 과정을 파악하고 취약점을 검사해 제거한다. 파일 입력, 처리, 출력 과정을 분석해 모니터링하고, 악성행위를 발생시키는 익스플로잇을 탐지, 차단한다.
시큐레터는 이 기술을 이메일, 파일의 비실행형 악성코드 분석에 사용하고 있다. 이메일을 위한 ‘SLE’는 수신된 이메일을 자동으로 리버스 엔지니어링으로 분석한 후, 악성메일을 격리한다. 몇 초 만에 분석이 완료되기 때문에 인라인 구성이 가능하다. 한국아이티평가원(KSEL) 평가 결과 하루 20만2444개 파일을 분석하며, 한 건당 평균진단속도 27.3초에 불과하다.
제로 기업수 4000명 하루 3만2000건의 이메일을 수신하는 한 기업의 위협진단 결과, 시그니처 기반 보안 솔루션은 8건의 악성파일을 찾았으며, 시큐레터는 40개의 악성파일을 찾아냈다.
SLE는 구축형 혹은 구독형(SLES)으로 공급 가능하며, SLES는 IDC센터를 통해 다계층 진단과 분석을 거친 후 정상 이메일을 사용자에게 보내고, 악성메일은 차단하거나 알려주는 방식으로 진행된다.
망연계, 문서중앙화, 웹 공용 게시판 등을 통해 들어오는 악성코드는 ‘SLF’로 차단할 수 있다. 모든 문서에서 의심스러운 요소를 트리거링 해 분석, 악성파일 여부를 확인할 수 있다.
최근에는 웹 게시판의 문서 악성코드 차단 솔루션으로 공급사례가 쌓이고 있다. 공공기관과 금융사를 중심으로 종이 없는 업무환경이 구현되면서 팩스로 접수하는 민원서류를 웹 게시판을 통해 게시하도록 했다. 담당자는 민원인이 업로드 한 파일을 업무망에서 열어봐야 하는데, 여기에 악성코드가 있으면 업무망 전체가 감염된다. 시큐레터의 SLF를 이용해 민원 게시판 서류도 안전하게 다운로드 할 수 있다.
망간 자료전송(망연계) 솔루션과 함께 공급된 사례도 다수 확보돼 있다. 폐쇄망 환경 악성파일 분석, 검출된 악성코드의 백신 탐지 확인, 망연계 파일 전송과 탐지 기능을 모두 만족하는 파일 보안 제품이라는 검증을 받았다. 문서중앙화 솔루션과 연동할때도 빠르게 악성코드를 탐지할 수 있어서 문서중앙화 서버에 안전한 문서만 저장될 수 있도록 한다.
다양한 보안 솔루션 연계해 위협 탐지 효과 제고
시큐레터는 리버스 엔지니어링 기술을 기반으로 한 디버거 분석과, 콘텐츠 무해화(CDR) 기술, 콘텐츠 식별과 구조 분석을 통한 위협 분석 등 세 개 기능이 통합된 ‘MARS 플랫폼’을 제공한다. MARS는 시그니처 진단, 동적 분석, 암호화 압축파일 분석, 머신러닝 알고리즘 진단, CDR, CTI, 리버스 엔지니어링, 샌드박스 등의 기술이 통합돼 정확하게 악성코드를 탐지한다.
시큐레터 CDR은 문서에 포함된 URL, 자바스크립트, 셸코드 등 액티브 콘텐츠를 식별, 제거한 후 재조합해 원본과 동일한 형태로 보여준다. 그런데 액티브 콘텐츠만 제거하기 때문에 취약점 기반 공격 시 탐지할 수 없다는 문제가 있기 때문에 리버스 엔지니어링 분석이 반드시 필요하다. 시큐레터 MARS는 파일 분석, CDR, 리버스 엔지니어링을 결합하기 때문에 악성행위를 정확하게 차단하고 우회 공격 가능성을 제거한다. 시큐레터는 한국인터넷진흥원 APT 대응 장비 성능평가 악성코드 탐지율 100%를 기록했다.
이승원 CTO는 “시큐레터는 이메일, 문서, 망연계, 웹 게시판과 웹서비스, ECM 등 악성코드가 유입되는 모든 구간에서 보안위협을 탐지, 차단한다. 또한 KT와 지능형 위협분석 플랫폼·클라우드 이메일 보안 솔루션 협력, 모니터랩 차세대 융합보안 솔루션 협력, 크리니티 스팸 이메일 통합보안 협력 등을 진행하고 있으며, API를 통해 다양한 보안 솔루션과 연계돼 진화하는 보안 위협 대응 효과를 높일 수 있게 한다”고 말했다.
한편 시큐레터는 중소벤처기업부 우수 연구개발 혁신제품으로 선정됐으며, 조달청 혁신장터 등록, 향후 3년 간 수의계약을 통한 공공조달에 참여할 수 있게 됐다.
CDR 결합해 문서기반 공격 방어 효과 높여…다양한 환경 적용사례 축적
기사 출처 : 데이터넷(http://www.datanet.co.kr/news/articleView.html?idxno=181605)
—
이번 ‘제 22회 차세대 보안 비전 2023’ 세미나에는 공공기관의 보안 담당자들이 많이 방문 했는데요. 매일 들려오는 악성메일에 따른 피해는 대기업을 비롯한 중소기업, 공공기관에 이르기까지 다양한 분야와 종목에 퍼져 나타나고 있습니다. 시큐레터는 전세계 유일 자동화된 엔지니어링 기반 악성코드 탐지, 진단, 분석, 차단 솔루션으로 악성 파일 탐지 KISA 성능평가 ‘악성파일 탐지율’ 100%를 달성하였을 만큼 기업에 효과적인 보안을 책임집니다.
피플러스는 악성코드, 랜섬웨어 등 보안솔루션이 필요한 제조기업, 공공기관, 금융기관 등에 적합한 보안 솔루션을 각 기업/기관에 맞게 설계하여 효과적인 보안을 진행할 수 있도록 도와드립니다.