본문 바로가기

제품 이야기

사이버보안 최신 트렌드 및 기술 동향, Content Disarm & Reconstruction

 

최근, 문서에 알려지지 않은 신종 악성코드를 은닉하여

감염 시키는 문서형 악성코드 해킹 방식이 증가하고 있는 추세입니다.

심지어, 글로벌 비즈니스 플랫폼인 Amazon, ebay 등에서도

악성코드를 손쉽게 만들 수 있는 해킹 도구를 구매하고 판매할 수 있는데요.

 

문서형 악성코드에 대응하는 기존 방식은 예측에 의한 방어에 의존하는 경우가 대다수입니다.

예측 방어는 APT 공격처럼 지속적이고 치밀하게 이루어지는 사회공학적 공격과

매일 36만 개의 생성되는 신, 변종 악성코드를 전혀 탐지할 수 없다는 단점이 있습니다.

 

 

이러한 예측에 의한 방어 기술에 한계를 극복하기 위해

최근 보안 선진국들은 문서를 무해화하는 CDR(Content Disarm & Reconstruction) 기술

주목하고 있으며, 이를 보안 정책에도 적용하여 외부 위협으로부터 보안을 강화하고 있습니다.

 

이번 포스팅에서는 사이버보안 선진국에서 주목하고 있는

CDR 기술의 동향과 그와 관련된 정책에 대한 정보를 담았습니다.

 

 

 

ㅣ CDR(Content Disarm & Reconstruction)

 

<CDR(Content Disarm & Reconstruction) 기술 개념도>

 

▲ CDR(Content Disarm & Reconstruction) 기술 정의

 

  CDR(Content Disarm & Reconstruction)

  이름 그대로 콘텐츠를 무해화하고 재구성하는 기술로써,

  콘텐츠를 분석하고 분해하여 위협 요소를 제거하고 안전한 요소만으로

  문서 파일을 재구성하는 기술이다.

 

  CDR 기술은 오래전부터 사용되어 왔지만, 용어가 사용되기 시작한 것은

  2016년 가트너가 자사 보고서에서 사용하면서부터다. 그 이전에는 클린 콘텐츠(Clean Content)나

  데이터 살균(Data Sanitrans), 위협 추출(Threat Extraction) 등 다양한 용어를 사용했다.

 

쉽게 말하자면, 이메일, USB 등 외부에서 들어오는 파일을 분석한 후

매크로, VB 스크립트, Java 스크립트, Shellcode와 같은 실행 파일 등

불필요하거나 의심스러운 위협 요소들을 제거하고,

텍스트, 도형, 그림, 표 등 눈에 보이는 Visible Content 만으로 콘텐츠를 재구성하여

원본 파일과 동일한 형태의 파일로 파일을 사용자에게 제공하는 기술입니다.

 

 

 

ㅣ 사이버보안 선진국의 CDR 기술 관련 정책

 

 

▲ 사이버보안 선진국의 CDR 기술 정책

 

일본

총무성

 · 2015년 지방 자치 단체의 정보 보안 강화의 일환으로

   무해화라는 새로운 보안 용어 생성하고 의무화

문부과학성

· 2017년 교육 정보 보안 정책 지침에서 무해화를 의무화

미국

국토안보부

 · 2015년 RAS 컨퍼런스에서 Content Filtering 프로젝트 성과 발표

 · 2017년 Content Filtering 프로젝트에 관련된 CDR 지침 발표

호주

사이버보안당국

· 2017년 정보 보안 매뉴얼(Information Secutiry Manual)을 발표하면서

   CDR 기술을 의무화

이스라엘

사이버당국

 · 사이버 방어 방법론(Cyber defense Methodology for an orgarnization)

  에서 분리된 네트워크 간의 파일 교환 구간에 Content Filtering을 할 것을

  의무화

 

일본 CDR 규정

2015년 일본 연금 기구에서 125만 건의 개인 정보 유출 사건이 발생하여

일본 총무성은 지자체의 정보 보안 향상 대책으로 망분리와 무해화를 규정으로 만들고

이에 대한 막대한 예산을 편성하였습니다.

일본 문부과학성에서도 2016년 6월 시가현의 개인 정보 유출 사건을 계기로

2016년 7월 8개의 항목의 교육 네트워크 보안 대책을 발표하였고,

해당 지침에 무해화를 명시하여 의무화 하였습니다.

 

미국 CDR 규정

국토안보부와 국가안보국이 공동으로 총 12개 항목으로 구성되어 있는

사이버 종합 계획(Cyber Comprehensive National Cyber Security Initiative)을 주관하였으며,

CDR 지침은 연방기관 네트워크의 신뢰성 있는 인터넷 접속 관리(이하 TIC)에 규정되어 있습니다.

TIC 계획은 백안관 관리 예산처와 국토안보부에 의해 추진되었고,

2017년 새롭게 발표된 TIC 관리에 Content Filtering이라는 용어를 사용하여

CDR 처리에 대한 지침을 명시하고 있습니다.

 

호주 CDR 규정

호주 사이버 보안 센터에서 사이버보안을 주도하고 있으며,

2017년 정보 보안 매뉴얼(Information Security Manual)을 새롭게 발표하였습니다.

해당 매뉴얼에 CDR 규 정으로 Content Filterind, Content Sanitization,

Data transfers & content filtering이라는 용러를 사용하여 CDR 기술을 명시하였으며,

이를 의무화하고 있습니다.

 

이스라엘 CDR 규정

이스라엘 사이버 당국도 조직을 위한

사이버 방버 방법론(Cber defense Methodology for an organization)에서

분리된 네트워크 간의 파일 교환 구간에 Content Filtering을 할 것을 명시하고 있습니다.

 

이렇게 정보 보안 선진국들이 도입하고 있는 신기술을

가트너에서는 2016년 CDR(Content Disarm & Reconstruction)이라는 새로운 용어를 만들어

향후 사이버 위협에 대응하는 차세대 보안 신기술을 CDR 기술을 제안하고 있습니다.

 

 

 

ㅣ 세계적으로 CDR 기술 적용 사례

 

 

세계적으로 CDR 기술을 보유하고 있는 업체는 대한민국의 소프트캠프를 포함하여

이스라엘, 영국, 미국 업체가 주류를 이루고 있으며, 다양한 제품에 CDR 기술을 적용하여

선도해 나가고 있습니다.

 

CDR 선도 국가

한국, 이스라엘처럼 군사적으로 민감한 상황으로 사이버보안을 강화해야 하는 국가와

미국처럼 소프트웨어 기술이 뛰어난 국가에서 기술을 선도하고 있습니다.

 

영국 업체들의 메일 보안 제품

영국의 업체들은 제로데이(Zero-Day) 공격에 대한 대책으로 메일 보안 제품에

CDR 기술을 적용하여 제품을 판매하고 있습니다.

 

미국 업체들의 다양한 CDR 기술 적용 사례

미국에서는 기존의 시그니처 기반의 악성코드 분석 회사들이

CDR 기술을 제품에 적용하고 있고, 최근에는 가상 브라우징 제품에 CDR 기술을 적용하려는

흐름을 보이고 있습니다.

 

CDR 업체의 국가 파트너

CDR 기술을 보유한 업체들은 독일, 남아공, 헝가리, 대만, 세르비아, 프랑스,

중국, 일본, 이탈리아, 미국, 싱가포르, 한국 등 다양한 국가에 파트너가 있고,

파트너 국가에 제품을 판매하고 있습니다.

 

세계적으로 보안 기술이 변화하고 있음에도 불구하고

국내에서는 현재 CDR 기술에 대한 국가단위 프로젝트나 연구가 전무한 실정입니다.

보안 전문가들 사이에서도 CDR 기술이 생소한 것으로 받아 들여지고 있습니다.

 

국내의 랜섬웨어 피해 규모는 2016년에는 3000억이고 2017년에는 7000억으로

천문학적인 비용이 소요되고 있지만, 새롭고 근본적인 보안 대책을 만들고 받아들이려는 사고의 변화는

정부기관, 학계, 보안 전문가 중 어느 곳에서도 일어나고 있지 않은 것이 안타까운 현실입니다.

 

우리나라 또한 IT 기술 선진국으로서 세계적인 보안 기술 변화에 대한 흐름에 맞춰 최신 보안 기술을

발 빠르게 적용해야 할 것 입니다.

 

 

ⓒ 소프트캠프 윤일한 대리