본문 바로가기

제품 이야기

CDR 솔루션으로 랜섬웨어, APT 공격 방어


최근 계약서, 이력서, 택배안내 등 위장한 악성 문서파일을 이용한

랜섬웨어, APT 공격이 늘어나고 있는데요.

알고 있는 출처의 이메일에 위장한 악성파일에 첨부된 경우 사용자가 의심 없이 열어보기 때문에

쉽게 감염될 수 있습니다. 


문서 없이는 업무가 진행될 수 없는 기업에서는 악성 파일을 사전에 차단하는 것을

반드시 해결해야 할 숙제인데요

이러한 상황을 반영해 소프트캠프는 이메일/USB/인터넷 등 외부경로를 통해 유입되는

악성 문서파일을 잡아주는 원스탑 CDR(Content Disarm & Reconstruction) 솔루션

실덱스 에이디(SHIELDEX AD)를 출시했습니다. 




위장한 악성 문서파일 잡는 실덱스 에이디(SHIELDEX AD)

 

실덱스 에이디는 CDR 기술을 바탕으로 기존 실덱스 제품의 기능을 고도화하여

관리자와 사용자 편의성에 중점을 두고 만든 제품입니다. 


외부경로와 관련된 서버 앞 단에 간단하게 설치만하면,

외부망과 연결된 폴더에 들어오는 악성파일을 실시간으로 감지하고 있다가

악성파일이 감지될 경우 무해화 처리하고 악성 요소들을 제거하여

안전한 구성요소로만 재구성된 파일을 내부망의 지정된 폴더로 자동으로 전송해주는 솔루션 입니다. 

때문에 랜섬웨어, APT 공격 등 악성문서파일을 이용한 지능형 공격을 사전에 차단할 수 있어요.


뿐만 아니라, 기존의 로그인 인증 절차와 상사의 승인을 통해서만

파일을 전송할 수 있는 이용의 불편함을 없애고 이를 자동화 시켰는데요

최근 보안담당자들이 선호하는 심플한 운영방식과

사용자들을 위한 편의성, 보안성을 고루 갖췄기 때문에 많은 호응을 얻고 있습니다. 


 

◈ AD&Cleansing 

- 네트워크 공유폴더 감시

- 안전한 파일로 문서 재구성


◈ Secure Protocol

- IEEE 1894 프로토콜을 이용한 파일 전송

- HTTP 통신 차단을 통한 외부 위협 방지


◈ Log Server

- 반입파일 결재정보 및 무해화 결과 로깅

- 특정 파일 유입 차단




실덱스 에이디 특장점

 

▲ 차별화된 악성코드 탐지기법 CDR 기술로 기존 백신 및 APT 대응 솔루션의 한계 극복 


 

▶ 정적분석(Static Analysis) 

- 악성코드의 패턴 및 파일 정보를 DB에 저장해두고 이와 비교하여 검사하는 방식

- DB에 업데이트 되지 않은 신규 악성코드 유입 시 탐지에 실패하여, 신규 악성코드에 대한 DB 업데이트 시점까지 

  공격에 무방비


▶ 동적분석(Dynamic Analysis)

- 사용자 환경과 유사하게 가상환경을 여러 개 만들어놓고 파일을 직접 실행시켜 탐지하는 방식

- 사용자와 완벽하게 동일한 환경을 구성할 수 없으며, 시간설정이 있는 악성코드, VM 환경 탐지 악성코드 탐지 불가


▶ 문서구조 분석방식

- 문서파일의 구조를 확인하고, 문서파일 내 컨텐츠에 대해 검사하며 안전한 컨텐츠만 추출하여 문서파일을 재구성

- 최근 증가하는 문서파일 형태의 악성코드 대응에 최적화


기존의 정적분석, 동적분석으로 탐지할 수 없는 악성코드를

문서구조 분석방식 기반의 CDR 기술을 사용하여

최근 증가하는 문서파일 형태의 악성코드 대응에 최적화 되어있는 제품입니다. 

기존 백신 및 APT 대응 솔루션의 한계를 극복했습니다. 



▲ 문서구조 분석방식의 CDR 기술 적용 



실덱스 에이디는 CDR 기술을 통해 문서파일이 일반적인 문서형태를 갖추고 있는지 확인하고

일반적인 문서인 경우 컨텐츠까지 확인하여 안전한 컨텐츠만 재구성하는 역할을 수행하고 있습니다. 


또한 Macro, Script, Embedded, Object... 등의 의심 컨텐츠를 제거하며

매크로의 경우 구문분석 기능을 통해 정상/악성 매크로를 체크하고 악성 매크로를 제거합니다. 


<문서구조 분석방식>


① 문서 포맷 확인(Format Verification)

실덱스가 지원하는 문서 확장자인지 아닌지를 확인한 뒤 지원하지 않는 확장자일 경우 차단하며,

문서의 확장자와 실제 문서 포맷 구성이 다른 경우에도 확장자 위변조로 판단하여 반입을 차단합니다. 


② 문서 구조 분석(Structure Analysis)

정상적인 문서파일은 각 확장자 별로 일련의 구조를 갖고 있는데 문서구조가 일반적인 문서형태와 다르거나 

비정상적인 컨텐츠가 포함된 경우, 비정상 컨텐츠를 제거하거나 파일 자체를 원천 차단합니다. 


③ 구성요소 추출 및 검증(Component Extraction)

문서 내 악성코드가 삽입될 가능성이 있는 Macro, Active X, Script, Embedded Object 등을 제거하고 

새로운 파일로 저장하고 컨텐츠 추출이 정상적으로 이루어지지 않는 경우 반입을 차단합니다. 


④ 재구성 및 검증(Re-Construction Verification)

악성코드가 없는 깨끗한 컨텐츠로만 재조립하여, 원본과 동일한 포맷의 문서로 재구성합니다. 




▲ 파일 반입 이력관리 강화 


관리자 콘솔에서는 외부유입파일 반입현황, 파일 누적건수 등의 통계를 제공하여

외부에서 유입된 의심스러운 파일에 대한 이력관리를 강화할 수 있습니다. 



▲ 유연한 구축환경과 자원 소모 최소화

메일서버 앞 단에 구성되기 때문에 메일서버를 변경 시키지 않고

릴레이 방식으로 유연하게 연동 설치 할 수 있어서 구축 시 유연한 환경을 제공합니다. 


또한, 기존 백신 및 APT 대응 솔루션과 달리 패턴분석 DB가 필요 없으며,

행위분석을 위한 다양한 O/S 및 어플리케이션 환경 별로 구성된 가상환경을 마련할 필요가 없어서

불필요한 자원 소모 및 성능저하를 막을 수 있습니다. 




실덱스 에이디 기대효과


◈ 실덱스 에이디는 안전한 내부 환경과 업무 연속성을 보장합니다.  

다양한 외부 경로로 유입되는 파일이 시스템 중요 영역으로 접근하는 것을 차단하기 때문에

시스템 자원을 보호하며, 알려지지 않은 위협이 발생할 수 있는 가능성을 최소화해 줍니다. 



◈ 외부유입파일에 대한 식별과 차단을 통해 안전한 업무협업 환경을 만들어 줍니다. 

- 악성파일 원천차단 : CDR 기술을 통한 악성파일 통제

- TCP/IP 통신 차단 : FireWire 프로토콜을 이용하여 내부망과 외부망 분리를 통한 보안 강화

- 반입파일 이력관리 : 파일 반입에 대한 이력을 관리하여 실제환경 파일 유통에 대한 보안 강화



◈ 각종 업무환경에 적용하여 업무 보안성을 강화해 줍니다. 

- 문서 재구성을 통한 안전한 문서반입으로 알려지지 않은 악성코드에 대응

- 외부에 의한 위협을 사전차단하고 위협 감지 시 능동적으로 대응