CDR 기술, 스테카노그래피(Steganography)로 위장한 악성문서 대응

    제품 이야기 2018.06.11 09:46

     

    사이버공격 양상이 복잡해지고 고도화, 지능화 되면서

    단일 보안 시스템만으로는 안전한 보안 수준을 유지하기 어렵게 되었습니다.

    이러한 문제점은 기하급수적으로 늘어가는 해킹 공격 방법에 실시간으로 대응할 수 없다는 점과

    패턴분석 방식과 같은 기존의 수동적인 대응방법을 탈피하지 못하는 기술적인 한계점으로

    그 심각성이 더욱 커지고 있는 상황입니다.

     

    이번 포스팅에서는 사이버공격 중 하나인 스테가노그래피(Steganography) 기법에 대해 알아보고,

    이를 대응할 수 있는 최적화된 신기술

    CDR(Content Disarm & Reconstruction), Anti-Steganography에 대해 소개해 드리고자 합니다.

     

     

    | 스테가노그래피(Steganography)

     

      스테가노그래피(Steganography)

      그리스어로 감추어져 있다는 뜻하는 'stegano'와 그리다를 뜻하는 'graphos'를 결합한 용어입니다.

      해킹에서는 정보를 은닉하는 방법 중 하나로, 일반적인 암호화와는 차이가 있습니다.

     

    암호화가된 콘텐츠는 인가되 사용자의 인증된 키를 통해 복호화하지 않는 이상 해당 콘텐츠를 사용할 수

    없지만, 스테가노그래피는 커버(cover) 또는 래버(wrapper)라고 불리는 매개체를 통해

    은닉되어 있기 때문에 사용자가 커버에 해당하는 콘텐츠를 아무런 의심없이 사용하게 되며,

    내부에 은닉된 정보는 사용자도 모르게 유통하게 됩니다.

     

    즉, 커버라는 매개체를 통해 정보를 은닉하여

    해당 정보 자체가 악성코드로써 공격을 하기도 하며, 악의적인 목적으로 은닉된 정보가 유통되기도 합니다.

     

    주로 이미지, 문서, 동영상, 오디오파일 등이

    스테가노그래피 기법을 통해 악의적인 용도로 사용되어 집니다.

    이 중에서도 가장 보편적으로 사용하는 공격 방식은

    이미지와 문서파일을 커버로 하여 그 파일에 악성코드를 덧붙이는 것 입니다.

     

    이미지를 이용한 스테가노그래피의 대표적인 예를 들면,

    오사마 빈 라덴이 9.11 테러 당시 모나리자 사진에 비행기 도면을 숨겨 테러범들과 메시지를 주고 받은 것 입니다.

     

    기업의 경우에도 스테가노그래피 기밥을 통해 악성 파일이 회사 내부망으로 들어올 경우 심각한 문제를

    유발할 수 있으며, 반대로 회사 내부망에서 외부망으로 기밀정보를 유출하는 용도로 사용될 수도 있습니다.

     

    APT 공격이 점차 진화함에 따라, 이러한 스테가노그래피를 통해

    스크립트나 악성코드를 파일에 숨긴 후 피해자에게 전송하고,

    그 파일을 이용하여 원치 않은 동작을 발생시키는 방식의 해킹 공격들이 등장하였습니다.

    이런 공격 방식의 특성상 기존의 백신만으로는 탐지하기가 매우 어렵습니다.

     

    따라서, 사용자가 안전하게 파일을 사용, 유통하기 위해서는

    기존의 패턴정보 기반의 정적, 동적분석 탐지방식의 한계점을 극복하는 새로운 방식의 기술이 필요하며,

    이를 효과적으로 제거할 수 있는 방법이 필요합니다.

    CDR과 Anti-Steganography 기술을 적용한 파일 무해화(無害化)가 바로 그 방법 입니다.

     

     

    | CDR 기술

     

    <CDR 기술 개념도>

     

      CDR(Content Disarm & Reconstruction) 기술

      문서 파일 내 잠재적인 위협요소를 제거한 후, 안전한 콘텐츠만 추출하여 재구성하는 새로운 개념의 기술

      입니다.

      문서를 재구성하는 방식인 Visible Content 추출 과정을 통해 악성코드가 숨겨진 은닉 요소를 제거하는

      것이 핵심입니다.

      기존 악성코드 탐지방식과 달리 문서구조 분석방식을 사용하며, 문서형 악성코드 대응에 최적화 되어

      있습니다.

     

    CDR 기술은 외부 유입 경로인 이메일/인터넷/USB 등을 통해 들어오는 모든 악성 문서파일에 적용됩니다.

    문서 내 악성코드 정보를 원천적으로 제거하기 때문에 알려지지 않은 공격과 분석 사례가 없는 공격,

    탐지를 우회하는 공격 등 다양한 공격에 능동적, 선제적으로 대응할 수 있습니다.

     

    즉, 스테가노그래피 기법으로 파일을 은닉, 위장, 우회 하지 못하도록

    은닉 요소들을 제거한 후, 안전한 요소만으로 재구성하여 파일을 무해화 하는 기술 입니다.

     

    CDR 기술은 악성 여부에 대한 별도의 탐지 없이,

    스테가노그래피가 적용되었을 가능성이 있는 부분들을 수정 또는 제거하고,

    안전성이 확보된 필요한 부분만 모아서 파일을 재구성 합니다.

    기존 백신 등에서 사용되는 멀웨어 분석방식과 달리,

    파일을 분해하여 시스템의 정의 또는 정책에 맞지 않은 모든 컴포넌트를 제거합니다.

     

    <CDR 문서구조 분석방식 프로세스>

     

      CDR 기술 문서구조 분석방식 프로세스

      1. Format Verification

      대상 문서의 포맷 확인 / 확장자 및 헤더 구조 검사

      2. Structure Analysis

      문단, 도형, 그림, 표 등 모든 문서 구성요소들의 구조 검증

      3. Component Extraction

      문서 구성요소 추출 / 올바른 구성요소인지 검증

      4. Reconstruction

      의심 컨텐츠 체크 및 제거, 추출된 구성요소로 문서 재구성

     

    문서파일을 커버로하여 악성파일을 덧붙이는 기법은 스테가노그래피를 가장 쉽게 적용할 수 있는 방법 중 하나입니다.

    위의 그림과 같이 문서 내부와 마지막 부분에 악성코드가 삽입되어 은닉된 상태일 경우,

    CDR 과정을 통해 문서의 Visibale Content를 추출 및 재구성하여

    안전하게 사용 가능한 문서로 재탄생시켜 줍니다.

     

    스테가노그래피를 사용하는 범위와 기법이 다양하지만,

    그 중에서도 이미지에 적용하는 것이 가장 쉽기 때문에 그 사례도 다양합니다.

     

    | Anti-Steganography 기술

     

    이미지 파일 마지막에 악성코드를 덧붙여서 은닉하는 경우에는 CDR 기술로 안전하게 재구성 할 수 있지만,

    이미지의 특정 정보에 삽입된 bit 값을 기반으로 스테가노그래피가 적용 되었다면,

    CDR 처리를 한다고해도 악성 정보가 남아 있을 수 있습니다.

    따라서, 육안으로 보여지는 것과 동일하게 원본을 유지한 형태로

    은닉된 정보를 제거하고 재구성하기 위해서는

    CDR 기술에 Anti-Steganography 같이 고도화된 기술이 더해져야 합니다.

     

    다음과 같은 사례들이 Anti-Steganogrephy 기술이 필요한 경우 입니다.

     

      [사례1] 이미지 픽셀의 LBS(Least Significant Bit) 값을 변경하여 정보를 은닉하는 경우

      LSB를 변경하더라도 눈으로 보여지는 이미지가 원본과 다르지 않기 때문에 탐지가 어렵습니다.

     

      [사례2] 이미지 변환 과정에서 필요한 정보에 은닉하는 경우

      이와 같이 은닉될 경우에는 더욱더 탐지하기가 어렵습니다.

     

    <이미지 픽셀의 LSB 2bit를 은닉 정보로 활용한 예>

     

    <이미지 픽셀의 LBS 1bit를 은닉 정보로 활용한 예>

     

    이처럼 이미지 정보 안에 텍스트나 이미지가 은닉될 경우,

    커버 이미지 파일을 모두 악성파일이라고 규정할 수 있을까요?

    이미지 파일의 마지막에 악성코드를 덧붙여서 은닉하는 경우에는 악성파일이라고 규정할 수 없지만,

    위 사례들과 같이 LBS를 통해 이미지, 텍스트를 은닉할 경우에는

    그 파일이 무조건 악성파일이라고 규정할 수 없습니다.

     

    하지만, 악의적인 의도로 스테가노그래피 기법을 통해 정보를 은닉하였다면

    이를 제거해야할 필요가 있기 때문에 그에 대응하는 무해화 Anti-Stegranography 기술이 필요합니다.

     

    그렇다면, Anti-Steganography 기술을 적용해 어떤 무해화를 할까요.

    바로, 눈에는 눈! 이에는 이! LBS를 이용했다면 LBS를 훼손하는 방법으로 대응하는 것입니다.

    아래 그림에서도 볼 수 있듯이, LBS 1bit를 임의의 bit 0,1로 대체하는 것입니다.

     

    <이미지 픽셀의 LSB 정보를 훼손하는 방법>

     

    <이미지 픽셀의 LSB 정보를 훼손 후 은닉 이미지 추출을 시도한 예>

     

    다른 방법으로 LSB 영역을 좀 더 넓혀서 대체할 수도 있는데,

    이는 은닉 메시지에 대한 제거율은 높이지만, 거버 이미지에 대한 훼손율도 높아져서 저양하고 있습니다.

     

    LSB를 훼손하거나 변형하는 것만으로 이미지의 다른 영역에 있는 메시지까지 제거하였다고 판단하기

    어렵습니다.

    따라서, 스테가노그래피를 좀 더 높은 확률로 제거하려면 이미지 정보에 추가적인 변형을 가하여

    엔트로피(entropy)를 증가시키는 것이 필수적 입니다.

     

    스테가노그래피는 앞으로도 끊임없이 변종이 생겨날 것으로 예상하고 있습니다.

    이런 위협에 대해 기존 탐지방법만으로는 알려지지 않거나 변형된 악성 스테가노그래피를

    탐지할 수 없습니다.

    이에 대응하기 위해서는 CDR 기술이 가장 최적화된 기술이며,

    더 나아가 Anti-Steganography와 같은 기술이 적용된다면

    훨씬 높은 확률로 악성 파일을 무해하게 만들 수 있습니다.

     

    현재 소프트캠프에서는 cDR 기술을 고도화한 Anti-Steganography 기술을 지속적으로 연구 중이며,

    기존 고객을 대상으로 적용 중에 있습니다.

     

    CDR 기술은 향후 내부의 안전한 보안 환경을 만들어 주는 데 필수적인 보안 기술이 될 것이며,

    새로운 공격 방법에 능동적으로 대처할 수 있는 대처방법이 될 것입니다.

     

    소프트캠프 CDR, Anti-Steganography 솔루션 실덱스 SHIELDEX

    www.shieldex.co.kr