본문 바로가기

제품 이야기

외부 보안위협 대응 제거기술_CDR, Content Disarm & Reconstruction

 

저번 포스팅에서는 외부의 위협을 탐지하는 탐지기술을 소개해 드렸는데요.

탐지기술의 대표적인 보안 기술인 샌드박스, 위협 인텔리전스, 엔드포인트 탐지대응의

정의와 한계점을 알려드렸습니다.

 

이번에는 외부 보안위협의 최신 대응 기술 4가지 중에서 제거기술에 대해 설명해 드리겠습니다.

제거기술은 외부로부터 들어오는 유해 요소를 제거하는 기술을 의미합니다.

대표적인 보안 기술로는 CDR(Content Disarm & Reconstruction)을 꼽을 수 있습니다.

 

 

 

 

 

 

ㅣ CDR(Content Disarm & Reconstruction)

 

 

<CDR, Content Disarm & Reconstruction 정의>

 

 

▲ CDR(Content Disarm & Reconstruction) 정의

 

  CDR(Content Disarm & Reconstruction)은 이름 그대로 콘텐츠를 무해화하고 재구성하는 기술로써,

  콘텐츠를 분석 및 분해하여 위협이 될 수 있는 것만 제외하고 안전한 요소로만 문서 파일을

  재구성하는 기술 입니다.

 

  CDR 기술은 오래전부터 사용되어 왔지만, 이 용어가 사용되기 시작한 것은

  2016년 가트너가 자사 보고서에서 사용하면서부터 입니다.

  그 이전에는 기업 마다 클린 콘텐츠(Clean Content)나 데이터 살균(Date Sanitizer),

  위협 추출(Threat Extraction) 등 다양한 용어를 사용했습니다.

 

쉽게 설명하면,

이메일, USB 등 외부에서 들어오는 파일을 분석한 후

매크로, VB 스크립트, Java 스크립트, Shellcode와 같은 실행 파일 등

불필요하거나 의심스러운 위협 요소들을 제거하고,

텍스트, 도형, 그림, 표 등 눈에 보이는 Visible Content 만으로 콘텐츠를 재구성하여

원본 파일과 동일한 형태의 파일로 사용자에게 제공하는 것입니다.

 

비유하자면, 공항에서 출입 통제 시스템으로 승객이 칼, 총, 스프에이 등

유해한 무기를 갖고 있는지를 검색한 후 안전한 물건들만 들고 비행기에 타도록 하듯이

CDR 엔진을 통해 유해한 것들을 모두 걸러내고 안전한 콘텐츠만 내부망으로 들여보내는 것입니다.

 

만약, 콘텐츠 내에 악성코드가 있을 경우 추출 과정에서 원천 차단되기 때문에

신규 악성코드나 제로데이(Zero-day) 등에 선제적으로 대응할 수 있으며,

악성파일이 내부의 중요 자산으로 접근할 수 없도록 차단할 수 있습니다.

 

 

 

ㅣ CDR 솔루션 실덱스(SHIELDEX)

 

▲ 소프트캠프 실덱스(SHIELDEX)

 

<실덱스(SHIELDEX) CDR 구성도>

 

소프트캠프 실덱스(SHIELDEX)는 문서를 재구성하는 문서구조 분석방식을 사용하며,

문서파일 형태의 악성코드 대응에 최적화되어 있습니다.

 

① 문서 포맷 확인 (Format Verification)

-   문서 파일을 Binary Code 형태로 열람하여, 실덱스가 지원하는 문서 확장자인지 아닌 지를 확인한다.

-   이때 지원하지 않는 확장자일 경우 차단하며, 문서의 확장자와 실제 문서 포맷 구성이 다른 경우에는

     확장자 위변조로 판단하여 반입을 차단한다. (관리자가 정책 적용 가능)

 

② 문서 구조 방식 (Structure Analysis)

-   정상적인 문서파일은 각 확장자 별로 일련의 구조를 갖고 있으며,

     실덱스는 이러한 문서파일의 구조를 확인하고, 문서파일 내 콘텐츠에 대해 검사한다.

-   문서 구조가 일반적인 문서 형태와 다르거나 비정상적인 콘텐츠가 포함된 경우,

     비정상 콘텐츠를 제거하거나 파일 자체를 원천 차단한다.

 

③ 구성요소 추출 및 검증 (Component Extract)

-   문서 내에서 Visible Content를 추출하여 악성코드가 삽입될 가능성이 있는

     Macro, Active X, Script, Embedded Object 등을 제거하고 새로운 파일을 저장한다.

     (관리자가 정책 적용 가능)

-   콘텐츠 추출이 정상적으로 이루어지지 않는 경우 반입을 차단한다.

-   차단되는 파일은 원본 파일명.txt 파일을 생성하여 사용자에게 알림 메시지를 보낸다.

 

④ 재구성 및 검증 (Reconstruction Verification)

-   악성코드가 없는 깨끗한 콘텐츠로만 재조립하여, 원본과 동일한 포맷의 문서로 재구성한다.

 

 

▲ 실덱스(SHIELDEX) 제품 구성

 

<실덱스(SHIELDEX) 제품 구성>

 

실덱스 새니트랜스 넷(SHIELDEX SaniTrans Net)

-   망분리 환경에서 망연계를 통해 유입되는 파일을 재구성하여 반입하는 망연계 파일전송 시스템

-   망분리 환경에서 최적화, 자체 모듈 도입, 반입 절차 강화

 

실덱스 새니트렌스 메일(SHIELDEX Sanitrans Mail)

-   이메일을 무해화하여 안전한 메일 본문과 첨부파일만 내부로 유입하는 메일 보안 솔루션

-   메일 본문 무해화, 첨부파일 무해화, 결과 리포트 제공

 

 

▲ 실덱스(SHIELDEX) 특장점 및 차별점

<실덱스(SHIELDEX) GS 인증>

 

20년간 쌓아온 문서보안 기술력과 완전한 문서 재구성 노하우

CDR 기술은 모든 문서의 형태를 이해하고 분석하여 원본과 동일하게 재구성하는 것이 주요 관건인데,

소프트캠프는 20년간 문서보안 솔루션을 연구하면서 문서보안에 특화된 기술력을 기반으로 CDR 기술을

개발했으며, 2013년 실덱스가 출시된 이후 국내 주요 금융권과 공공기과에 구축하면서

원본 상태 그대로의 포맷과 콘텐츠를 완전하게 재구성하는 기술력을 갖추었다.

 

망분리 환경 보안 강화

망분리 환경에서 USB, 망연계 등 외부 경로를 통해 유입되는 문서파일을 무해화한 후

안전한 파일만 내부망으로 유입하여 망분리 환경에서의 보안을 강화해 준다.

 

GS 인증 획득, 차별화된 기술 입증

한국정보통신기술협회(TTA)로부터 GS(Good Software) 인증을 획득해

차별화된 APT 대응 제품으로 기술력을 입증 받았다.

 

문서파일 형태의 악성코드로 인한 APT 공격, 랜섬웨어 대응

CDR 기술의 문서구조 분석방식을 통해 기존 솔루션들이 탐지할 수 없었던

제로데이, 알려지지 않은 문서파일 형태의 악성코드 대응에 최적화 되어 있다.

 

불필요한 자원 소모 절약

기존 백신 및 APT 대응 솔루션과 달리 패턴분석 DB가 필요 없으며,

행위 분석을 위한 다양한 O/S 및 어플리케이션 환경 별로 구성된 가상환경을 마련할 필요가 없어

불필요한 자원 소모 및 성능 저하를 맞을 수 있는 장점이 있다.

 

 

▲ 실덱스(SHIELDEX) 지원 확장자

 

종 류

지원 확장자

문서파일

  Microsoftt Word (*.doc, *.docx, *.rtf)

  Microsoft PowerPoint (*.ppt, *.pptx, *.pptm)

  Microsoft Excel (*.xls, *.xlsx, *.xlsm, *cvs)

  Abode PDF (*.pdf)

  한컴소프트 한글 (*.hwp, *.Hwt)

  이치타로 타로 (*.Jtd)

이미지

  Image Format (*.jpg, *.jpeg, *.gif, *.tif, *.tiff, *.bmp, *.png, *.ico)

압축파일

  (*.zip, *.lzh)

메일

  Mag, Eml(※ SaniTrans Net에서는 본문을 제외한 첨부파일만 CDR 처리)

CAD

  AutoCAD(*.dwg, dxf)

 

 

소프트캠프 CDR 솔루션 실덱스 SHIELDEX

www.shieldex.co.kr