[디지털데일리 최민지기자] 최근 일본 총무성에서는 표적형 공격에 대응하기 위해 전지역의 모든 지자체에 망분리와 파일 무해화 도입을 의무화했다. 지능형지속위협(APT) 공격에 대한 새로운 대응책인 CDR(무해화, Content Disarm & Reconstruction) 기술을 중요시 하고 있는 것.

김종필 소프트캠프 상무<사진>는 14일 <디지털데일리>가 서울 플라자호텔에서 개최한 ‘2018년 전망, 금융IT이노베이션 컨퍼런스’ 행사에서 문서로 위장한 악성코드 대응에 최적화된 CDR에 대해 소개했다.

CDR 기술은 기존의 악성코드 탐지 방식과 달리 악성코드 행위를 분석하거나 패턴을 탐지하지는 않지만, CDR 솔루션 정책에 따라 의심되는 파일의 구성요소를 제거한다. 가트너는 기존의 APT 대응 방식은 딜레마에 빠져 있다며, 기업이 샌드박스를 이용한 행위분석 방식 등에 의존하는 대신 콘텐츠를 무해화·재구성하는 새로운 아이디어 기술을 시도하라고 제안하기도 했다.

김 상무는 “메일에 첨부파일을 보내는 방식으로 APT 공격이 이뤄지는 경우가 많다”며 “문서형 악성코드 중 애플리케이션 취약점을 악용하는 경우, 지속적으로 취약점을 패치해도 공격은 진화하고 있으며 금전을 요구하는 랜섬웨어 형태로 전환되고 있다”고 말했다.

한국을 타깃으로 한 APT 공격의 경우 한글(HWP) 파일을 악용하는 경우가 많다. 실제 한 공공기관은 한글 취약점 공격을 통해 내부자에게 문서를 열람하게 만든 후 특정시간 이후 악성코드를 동작하게 만들어 APT 공격을 받은 바 있다. 최근 3년간 한컴오피스는 11번의 보안패치를 적용했지만, 공격자들은 지속적으로 위협방법을 발전시켜 이를 우회하고 있다.

김 상무는 “공격자들은 내부자들을 조사한 후 클릭할 수밖에 없는 지능화·맞춤화된 문서를 보낸다”며 “항공, 국방, 공공분야 말할 것이 모든 부문에서 이러한 위협은 일어나고 있으며 심각한 문제를 야기한다”고 우려했다.

이어 “항공의 경우, 비행기 이착륙 스케쥴 시스템을 공격해 비행을 지연·마비시킬 수 있다”며 “이러한 APT 공격 과정에서 문서파일이 사용되고 있다”고 덧붙였다.

소프트캠프에 따르면 신규 악성코드는 하루에 85만개씩 생성되고, 타깃 공격은 전년대비 42% 증가했다. 이에 안전한 문서만 내부로 반입하게 하는 CDR 기술이 주목받고 있다.

이와 관련 소프트캠프는 외부 유입 문서에 대해 파일 구조 스캔 및 CDR 과정을 거쳐 안전한 문서만 내부로 반입하는 ‘실덱스(SHIELDEX)’ 솔루션에 주력하고 있다. 최근에는 일본시장까지 진출했다. 실덱스는 정상·악성 매크로를 체크한 후 악성 매크로를 제거하고, 액티브X 스크립트를 제거하는 기능 등을 포함하고 있다.

김 상무에 따르면 실덱스를 적용한 한 고객사는 31만9637건의 반입 시도 중 333건을 차단했으며, 또 다른 고객사는 23만2972건 중 1만2435건을 막았다. 333건은 규모 있는 기업을 무력화할 수 있는 수준이라는 설명이다.

김 상무는 “지속적으로 변화하는 사이버 위협에 대해 선제적 대응체계를 구축하기 위해 파일이 내부로 안전하게 들어오고 유통될 수 있도록 환경을 만들어야 한다”며 “또, 외부파일 반입 현황을 관리·통제할 수 있는 관리체계도 필요하다”고 말을 보탰다.

<최민지 기자>cmj@ddaily.co.kr