CDR, 파일무해화 솔루션으로 망분리 보안 강화, 악성코드 대응

    제품 이야기 2017.04.10 15:47


    끊임없이 발생하는 정보유출사고를 방지하기 위해

    정부에서는 공공기관, 금융기관, 일반기업을 대상으로 망분리 규정을 강화하고 있습니다. 


    그래서, 망분리를 열심히 하고 있지만

    정보유출 사고는 해마다 끊임없이 발생하고 있어요.

    실제로 최근에는 국가 기관망이 해킹 당해 국가기밀이 유출되는 사례도 있었지요,


    망분리 후에도 추가적인 보안 대책이 필요하다는 것인데요,

    그 대안으로 최근 해외에서는 CDR(Content Disarm & Reconstruction) 기술이 각광을 받고 있습니다. 


    망분리 후에

    '외부 경로를 통해 들어온 악성파일을 어떻게 안전하게 내부망으로 들여올까?'를 

    기반으로 해서 만들어진 솔루션인데요.

    이미 해외에서는 CDR 기술로 만든 솔루션을 적극적으로 도입하고 있는 추세입니다. 


    소프트캠프가 오늘은!

    CDR의 의미와 체계, 적용사례 등에 대해 자세히 알려드리겠습니다^^




    망분리 규정과 보완점

     

     

    2012년부터 망분리 규정이 강회되면서

    공공기관, 금융권, 일반 기업에서 망분리를 의무적으로 하고 있습니다.


    하지만 랜섬웨어, APT 공격 등은 좀처럼 줄지 않는데요,

    그 이유는 무엇일까요?


    일단 우리나라의 경우 망분리, 망연계 지침만 있을 뿐

    외부로부터 들어온 악성파일에 대한 관리 지침이 없기 때문입니다.



    <공공기관>

    [국가정보보안기본지침]

    제3장 요소별 보안관리

    제33조 (업무망 보안관리)

    ① 각급기관의 장은 업무자료를 소통하기 위한 전산망(이하 "업무망"이라 한다) 구축 시 인터넷과 분리하도록 망을 설계해야 한다. 이 경우 다음 각호의 보안대책을 강구하여 사업 계획단계(사업 공고 전)에서 국가정보원장에게 보안성검토를 의뢰하여야 한다.  


    1. 비인가자의 업무망, 인터넷 침입 차단대책

    2. 비인가 장비의 업무망 접속 차단대책

    3. 업무PC의 인터넷 접속 차단대책

    4. 업무망과 인터넷망간 안전한 자료전송 대책


    <금융기관>

    [전자금융감독규정]

    제3장 전자금융거래의 안전성 확보 및 이용자 보호

    제15조 (해캥 등 방지대책)

    ① 금융회사 또는 전자금융업자는 정보처리시스템 및 정보통신망을 해킹 등 전자적 침해행위로부터 방지 하기 위하여 다음 각 호의 대책을 수립/운용하여야 한다.  

    1. 해킹 등 전자적 침해행위로 인한 사고를 방지하기 위한 정보보호 시스템 설치 및 운영

    2. 해킹 등 전자적 침해행위에 대비한 시스템프로그램 등의 긴급하고 중요한 보정(patch)사항에 대하여 즉시 보정작업 실시

    3. 내부통신망과 연결된 내부 업무용시스템은 인터넷(무선통신망 포함) 등 외부통신망과 분리·차단 및 접속 금지(단, 업무상 불가피하게 금융감독원장의 확인을 받은 경우에는 그러하지 아니하다)

    4. 내부통신망에서의 파일 배포기능은 통합 및 최소화하여 운영하고, 이를 배포할 경우 무결성 검증을 수행할 것

    5. 전산실 내에 위치한 정보처리시스템과 해당 정보처리시스템의 운영, 개발, 보안 목적으로 직접 접속하는 단말기에 대해서는 인터넷 등 외부통신망으로부터 물리적으로 분리할 것(단, 업무 특성상 분리하기 어렵다고 금융감독원장이 인정하는 경우에는 분리하지 아니하여도 된다.)


    <일반기업>

    [정보통신망법 시행령]

    제4장 개인정보의 보호

    제15조 (개인정보의 보호조치)

    ② 법 제28조제1항제2호에 따라 정보통신서비스 제공자 등은 개인정보에 대한 불법적인 접근을 차단하기 위하여 다음 각 호의 조치를 하여야 한다. 다만, 제3호의 조치는 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일 평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신 서비스 제공자 등만을 해당한다.  

    1. 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템(이하 "개인정보처리시스템"이라 한다)에 대한 접근권한의 부여·변경·말소 등에 관한 기준의 수립·시행

    2. 개인정보처리시스템에 대한 침입차단시스템 및 침입탐지시스템의 설치·운영

    3. 개인정보처리시스템에 접속하는 개인정보취급자 컴퓨터 등에 대한 외부 인터넷망 차단

    4. 비밀번호의 생성 방법 및 변경 주기 등의 기준 설정과 운영

    5. 그 밖에 개인정보에 대한 접근통제를 위하여 필요한 조치


    출처 : 국가법령정보센터, 국가정보원


    망분리를 했다 하더라도 업무협업을 위해

    이메일, USB, 망연계 등의 외부유입 경로를 통해 

    업무 데이터 파일들을 내부망으로 유입할 수 밖에 없는데요,

    이러한 파일 중 악성코드에 감염된 파일이 내부로 들어오는 것을 막기 위해

    추가로 안티 바이러스, APT 대응 솔루션을 구축하고 있습니다. 


    하지만, 안티 바이러스, APT 대응 솔루션만으로는

    새롭게 생성되는 악성코드를 모두 감지하기 어렵고

    우회하는 악성코드도 계속해서 늘어나고 있기 때문에

    이에 대한 대응책이 반드시 필요한 상황이지요.




    CDR 의미와 체계

     

     

    CDR(Content Disarm & Reconstruction)

    외부에서 들어온 파일의 컨텐츠를 무해화하고 재구성하여 안전한 컨텐츠만 내부로 반입하여

    악성코드를 원천적으로 차단하는 기술

     

    CDR 기술인 체에 걸러 불순물을 거르듯이

    CDR 엔진을 통해 텍스트, 도형, 그림, 표 등

    외부에서 유입된 파일의 컨텐츠의 구성요소를 모두 검사하고

    악성코드는 제외한 채 안전한 요소들만 추출하는 무해화 과정을 거친 후 

    깨끗하고 안전한 파일로 재구성하여 내부로 반입하는 방식 입니다.


    CDR 체계
    1. 인터넷/망연계, 이메일 등의 경로를 통해 외부에서 악성코드가 숨겨진 파일이 유입 됩니다.

    2. 파일의 포맷과 확장명, 헤더의 구조를 검사하여 문서형식이 안전한지를 확인 합니다. 

    3. 문자, 그림, 표 등 문서의 모든 구성 요소의 구조를 검증하여 파일의 구조를 분석 합니다. 

    4. 문서가 올바른 구성 요소로 되어있는지 체크하고 성분을 추출 합니다.

    5. 의심되는 콘텐츠의 요소들을 지우고 추출된 구성 요소로 문서를 재구성 합니다. 


    CDR 기술은 기존의 보안 솔루션처럼 악성코드를 스캔하거나 시그니처를 분석하여 대응하는 것이 아니라, 

    문서구조 분석방식을 통해 안전한 컨텐츠 성분만을 추출해

    내부로 들여보내기 때문에 악성코드에 감염된 악성파일을 원천적으로 차단할 수 있습니다. 




    CDR 해외 도입 사례


     

    해외의 경우 일본에서 CDR 기술을 적극적으로 도입하고 있습니다.


    2020년 동경올림픽을 앞두고 개인정보보호 방안으로 망분리를 의무화 하고 있는데요,

    망분리와 망연계 규정만 있는 우리나라와 달리

    망분리 후, 내부망으로 파일 유입 시 반드시 무해화 처리를 해야 한다는 지침이 있습니다.


    여기서 말하는 무해화 처리 과정이 바로 CDR 기술인데요,

    기존의 보안 솔루션만으로는 부족하다고 판단했기 때문에

    최근 CDR 기술을 적용한 파일 무해화 처리 보안 제품을 중요하게 보고 있습니다. 




    망분리 환경에 최적화 된 CDR/파일무해화 솔루션, 소프트캠프 실덱스(SHIELDEX)


    많은 비용을 들여 구축한 망분리 환경이

    그저 명목상의 보안 시스템으로 남지 않기 위해선

    망분리에 최적화 된 CDR, 파일 무해화 솔루션이 필요합니다.


     

    소프트캠프 실덱스(SHIELDEX)

    망분리 환경에서 주요 경로를 통해 유입되는 파일들을

    CDR 기술로 무해화하고 재구성하여 안전한 컨텐츠만 내부로 반입시키는 솔루션 입니다. 


    실덱스는 망이 분리된 네트워크 환경에서 파일을 무해화 할 뿐만 아니라

    USB, CD/DVD, External HDD 등 외장장치, 메일 본문에 삽입된 이미지 코드와 첨부파일도 

    무해화 할 수 있습니다. 


    기존의 안티 바이러스, APT 대응 솔루션과 달리

    콘텐츠 구조 분석 방식을 사용하여 파일의 구조를 분석하고

    안전한 컨텐츠만 추출하여 무해화 한 후 재구성을 하기 때문에

    기존의 솔루션들이 탐지할 수 없는 문서파일 형태의 악성코드에 대응할 수 있습니다.


    기존의 타 솔루션이 분석/탐지 방식으로 유입되는 파일을 방어했다면

    소프트캠프 실덱스(SHIELDEX)는 외부에서 유입된 파일로 인한 위협 행위에 대해

    원천적으로 방어할 수 있기 때문에 실 환경을 보호하고 파일을 통제/관리할 수 있습니다. 


    특히나 악성코드나 이상행위에 대해 알려진 패턴 분석 DB가 불필요하고,

    행위 분석을 위한 다양한 O/S 및 어플리케이션 환경별로 구성된 가상환경을 마련할 필요가 없기 때문에

    불필요한 자원 소모 및 성능저하를 막을 수 있는 것이죠.


    더불이 기존의 스팸 메일 차단 솔루션(Anti-spam System)이 광고, 음란, 악성코드 등의 

    원하지 않는 메일의 수신을 차단하는 솔루션이라면,

    실덱스(SHIELDEX)는 첨부파일 자체를 무해화하여 악성코드 자체를 제거하기 때문에

    어떤 경로로 유입되는 악성코드를 원천적으로 차단할 수 있습니다.