이메일 랜섬웨어, 실덱스 CDR 기술로 막는다!

지금 전세계적으로 가장 위협적인 사이버 공격 중 하나인 랜섬웨어!

랜섬웨어는 한번 감염되면 4분만에 3만여개의 파일이 손상될 정도로 매우 빠르게 실행됩니다. 

또한 네트워크를 통해 PC, 노트북 등 엔드포인트 장치와 서버를 감염시키고

네트워크상에 있는 스토리지 매체도 단숨에 감염시켜 버리지요.

사이버테러라 불릴 만큼 무서운 파괴력을 갖고 있는 랜섬웨어는

이메일에 첨부된 문서나 파일을 통해 주로 감염되기 때문에 철저한 대비가 필요한데요

최근 랜섬웨어 공격 대응 방법으로 CDR(Content Disarm & Reconstruction) 기술이 떠오르면서

보안 업계뿐만 아니라 랜섬웨어로 고민이 많은 기업들도 많은 관심을 갖고 있습니다. 

CDR 기술이란?

랜섬웨어는 계약서, 사내업무 공지, 고소장, 숙박 예약문의 등으로 

메일 내 첨부파일로 위장한 형태로 유포되는데, 이런 메일에 첨부된 파일을 열어볼 경우 바로 감염됩니다. 

랜섬웨어 못지않게 위협적인 APT 공격 또한 웹보다 메일을 통해 발생하는 건수가 약 8배 이상 높고,

전체 APT 공격 경로의 87%를 차지할 정도로 이메일은 사이버 공격의 주요 감염경로로 자리잡고 있습니다. 

일반적인 대응 방법으로는 내부로 유입되는 웹 트래픽이나 메일에 첨부된 파일의 악성코드를 수집, 분석하여

그 패턴이나 시그니처를 식별하여 대응하는 것인데

이러한 방법은 알려지지 않은 악성코드에 감염된 파일이 내부에 유입되었을 경우 이를 통제하고 관리하는데

어려움이 있기 때문에 최근 CDR(Content Disarm & Reconstruction) 기술이 떠오르고 있습니다. 

CDR 기술은 외부에서 들어온 파일의 컨텐츠를 무해화하고 재구성하여

안전한 컨텐츠만 내부로 반입하여 악성코드를 원천적으로 차단하는 기술로

기존의 보안 솔루션처럼 악성코드 스캔, 시그니처 분석 등으로 대응하는 것이 아닌

문서구조를 분석하여 악성코드는 제외하고 정상적인 컨텐츠 성분만을 추출하여

내부로 반입하는 방식 입니다. 

CDR 기술 기반의 랜섬웨어 대응 솔루션, 실덱스

소프트캠프는 이메일을 통한 랜섬웨어 공격에 대응할 수 있는 솔루션으로

CDR(Content Disarm & Reconstruction) 기술 기반의 실덱스(SHIELDEX)를 선보였습니다. 

실덱스는 기존 메일 서버 앞 단에 간단하게 설치되어

이메일을 통해 유입되는 모든 파일을 CDR 기술로 무해화한 후 

깨끗한 컨텐츠로 재구성한 파일만 내부로 들여보내는 방식입니다. 

메일에 첨부된 파일의 컨텐츠에 있는 <텍스트, 도형, 그림, 표> 등 문서의 모든 구성요소 구조를 검사한 후 

검증된 요소들만 추출하여 파일을 재구성 합니다. 

이렇게 재구성된 파일은 원본파일 포맷을 그대로 유지하면서

ShellCode 등의 문서 구성에 불필요한 바이너리가 제거된

안전한 내용물로만 만들어진 파일로 재탄생 되는 것이지요.

비유하자면, 공항에서 출입통제 시스템으로

승객이 칼, 총, 스프레이 등 유해한 무기를 갖고 있는지를 검색한 후 

안전한 물건들만 들고 비행기에 타도록 하듯이

CDR 엔진을 통해 유해한 것들을 모두 걸러내고 안전한 컨텐츠만 내부망으로 들여보내는 것입니다. 

만약, 컨텐츠 내에 악성코드가 있을 경우 추출 과정에서 원천 차단되기 때문에

신규 악성코드나 제로데이(Zero-day) 등에 선제적으로 대응할 수 있고

이메일 뿐만 아니라 인터넷, USB 등 다양한 외부 경로를 통해 유입되는 악성파일이

내부의 중요 자산으로 접근할 수 없도록 차단해 줍니다. 

▲ CDR 기술 상세 설명 

실덱스는 기존의 정적분석과 동적분석을 통한 악성코드 탐지와는 달리

Visible Contents(텍스트, 이미지, 도표, 그래프 등)만 추출하여 문서를 재구성하는

CDR 기술(문서구조 분석방식)을 사용하며, 문서파일 형태의 악성코드 대응에 최적화 되어 있습니다. 

▶ 정적분석(Static Analysis)

- 악성코드의 패턴 및 파일 정보를 DB에 저장해두고 이와 비교하여 검사하는 방식

- DB에 업데이트 되지 않은 신규 악성코드 유입 시 탐지에 실패하여, 신규 악성코드에 대한 DB 업데이트 시점까지 

  공격에 무방비

▶ 동적분석(Dynamic Analysis)

- 사용자 환경과 유사하게 가상환경을 여러 개 만들어놓고 파일을 직접 실행시켜 탐지하는 방식

- 사용자와 완벽하게 동일한 환경을 구성할 수 없으며, 시간설정이 있는 악성코드, VM 환경 탐지 악성코드 탐지 불가

▶ CDR 기술 / 문서구조 분석방식

 

① 문서 포맷 확인 

- 문서 파일은 Binary Code 형태로 열람하여, 실덱스가 지원하는 문서 확장자인지 아닌지를 확인한다. 

- 이 때 지원하지 않는 확장자일 경우 차단하며, 문서의 확장자와 실제 문서 포맷 구성이 다른 경우에는 확장자 위변조로     판단하여 반입을 차단한다. (관리자가 정책 적용 가능)

② 문서 구조 분석 

- 정상적인 문서파일은 각 확장자 별로 일련의 구조를 갖고 있으며, 실덱스는 이러한 문서파일의 구조를 확인하고 

  문서파일 내  컨텐츠에 대해 검사한다. 

- 문서구조가 일반적인 문서형태와 다르거나 비정상적인 컨텐츠가 포함된 경우, 비정상 컨텐츠를 제거하거나 

  파일 자체를 원천 차단한다. 

③ 구성요소 추출 및 검증 

- 문서 내에서 Visible Contents를 추출하여 악성코드가 삽입될 가능성이 있는 Macro, Active X, Script, Embedded       Object 등을 제거하고 새로운 파일로 저장한다. (관리자가 정책 적용 가능)

- 컨텐츠 추출이 정상적으로 이루어지지 않는 경우 반입을 차단한다. 

- 차단되는 파일은 원본파일명.txt 파일을 생성하여 사용자에게 알림 메시지를 보낸다. 

④ 재구성 및 검증 

- 악성코드가 없는 깨끗한 컨텐츠로만 재조립하여, 원본과 동일한 포맷의 문서로 재구성한다. 

▲ 실덱스 특장점 

▶ 문서파일 형태의 악성코드 대응 최적화 

   CDR 기술의 문서구조 분석방식을 통해 기존 솔루션들의 한계점인 문서파일 형태의 악성코드 대응에 최적화된 

   제품입니다. 

▶ 유연한 구축 환경 제공

   메일 서버 앞 단에 구성되어 메일 서버를 변경 시키지 않고 릴레이 방식으로 유연하게 연동하여 설치할 수 있는 

   장점을 갖고 있습니다. 

▶ 불필요한 자원 소모 절약

   기존 백신 및 APT 대응 솔루션과 달리 패턴분석 DB가 필요 없으며, 행위분석을 위한 다양한 O/S 및 어플리케이션 

   환경 별로 구성된 가상환경을 마련할 필요가 없어 불필요한 자원 소모 및 성능저하를 막을 수 있는 장점이 있습니다. 

일본 시장에서 무해화 솔루션으로 각광

실덱스는 일본에서 총무성이 보안강화 지침으로 규정한

망분리와 파일 무해화를 준수하는 솔루션으로 각광받아 지방자치단체의 요건에 맞춰 공공기관에 최적화 된 

무해화 솔루션으로 실덱스를 판매 중입니다. 

지난 2015년 10월부터 총무성에는 표적형 공격에 대응하기 위해 마이넘버 제도를 시행,

이를 강화하기 위해 전 지역의 모든 지자체에 망분리와 무해화 도입을 의무화 하고 있습니다. 

정보유출을 목적으로 하는 표적 공격 대응에 기존 안티 바이러스나 APT 대응 솔루션 만으로는 

알려지지 않은 악성코드를 탐지하고 방어하는데 한계가 있다고 판단하여

새로운 대응책으로 망분리와 무해화를 중요시 하고 있는 것이지요.

이러한 시장환경을 적극 반영하여

소프트캠프는 2015년 5월, 자체 개발한 문서구조 분석방식의 파일 무해화(CDR) 솔루션으로 실덱스를 출시하고

총무성 및 지자체 환경에 필요한 기능들을 발 빠르게 개발하여

제품의 안정성과 신속한 대응으로 주목 받아 왔습니다. 

실덱스는 작년 말부터 사카도시청을 비롯해 일본 지자체 15곳에 도입하였으며,

일반기업에도 도입이 확산되고 있는 상황입니다. 

올해 일본 지자체 1,800개소 중 20%에 실덱스 제품을 구출하는 것을 목표로

미타니상사를 중심으로 일본 전 지역에서 영업활동을 활발히 전개하고 있습니다. 

실덱스 관련 사이트

 

▲ 실덱스 브랜드 홈페이지 

▲ 실덱스 소개 동영상