Home > 전체기사

악성 파일, 미리 무장해제시키는 솔루션 나왔다

  |  입력 : 2017-11-27 10:02
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
콘텐츠 미리 분해해 악성 요소만 바꾸고 다시 결합해 전달
만병통치약이 아니라 보안 레이어의 필수 요소가 되고 싶어


[보안뉴스 문가용 기자] 이스라엘의 보안 전문가 아비브 그라피(Aviv Grafi)는 침투 테스터였다. 이스라엘의 수많은 기업들을 대상으로 모의 해킹을 시도해 구멍이 어디에 있는지 파악해주는 걸 본분으로 삼고 있었지만, 현장이 생각만큼 다이내믹 하거나 일이 보람차지도 않았다. “모두가 똑같은 시나리오에 똑같이 당했기 때문”이다.

[이미지 = iclickart]


“짠 것처럼 모든 기업들이 똑같은 시나리오에 당했어요. 피싱 이메일 공격이었죠. 회사 직원들에게 메일을 보내 악성 링크를 클릭하게 하거나 악성 첨부파일을 다운로드 받게 함정을 파면 반드시 한 명쯤은 걸려들었어요. 엄청난 해킹 스킬을 발휘하거나 고급 기술을 적용해야 할 필요가 없었습니다.” 이는 현재 일반적인 사이버 보안의 현실을 그대로 반영한다. 세상을 떠들썩하게 만드는 건 랜섬웨어지만 실상 기업들의 금고를 터는 건 이메일을 통한 BEC 공격이다.

그래서 “뭔가 해결책을 마련해야 한다”는 생각이 들었다. “여기엔 여러 문제가 있죠. 직원들을 대상으로 한 보안 교육 문제도 있고, 안티 피싱 솔루션들도 제대로 작동하지 않는다는 뜻도 됩니다. 기술적으로 접근했을 때, 이메일 솔루션들이 시그니처 기반이라는 점이 가장 큰 문제라고 판단했습니다. 즉 알려지고 공개된 취약점만 막지, 그 외의 것에는 다 뚫린다는 것이 고쳐야 할 부분이라는 판단을 했습니다.”

보안 솔루션이 미리 이메일을 점검해 미리 알려지지 않은 악성파일이라도 찾아서 제거하거나 악성 링크를 제거할 수 있다면 이메일 사용 환경이 훨씬 안전해지지 않을까? 그래서 고안한 것이 CDR 기술이다. 이는 콘텐츠 해체 및 재건(Contents Disarm and Reconstruction)의 준말로, 글자 그대로 이메일이나 첨부파일(콘텐츠)을 미리 받아 해체해본 후 악성 요소들을 제거하고(disarm) 나머지 정상 요소들을 재건(reconstruction)시키는 걸 뜻한다. 이 기술을 적용해서 출시한 게 시큐어 데이터 세니타이제이션(Secure Data Sanitization)이다.

“고객 네트워크에 이메일이 들어옵니다. 그러면 이것이 이메일 함에 도달하기 전에 저희 솔루션이 CDR 기술을 발휘해 메일을 해체합니다. 메일이나 첨부파일의 메타데이터들도 분석합니다. 이 때 다수의 백신 엔진을 돌려 알려진 위협들을 죄다 걷어냅니다. 그런 다음 저희만의 안티 익스플로잇 기술을 적용해 알려지지 않은 위협들도 제거합니다. 나머지 정상 요소들을 다시 복원하고 이메일 함으로 보냅니다.” 이런 과정이 프록시 서버에서 이미 이뤄지기 때문에 네트워크로 악성 요소들이 들어갈 수가 없다.

게다가 이 과정이 전부 수초 안에 이뤄진다. 빨라서 좋다. 위협이 네트워크 근처에 왔다가 사라졌다는 사실이 탐지도 되지 않는다. 그래서 ‘보안 솔루션이 시스템을 느리게 만든다’는 통념도 깨진다. “그리고 원본 파일은 해체와 복원 후에도 그대로 남습니다. 문서 내 글자들이 깨진다거나, 파일 오류로 열리지 않는다거나 하지 않습니다. 무엇보다, 직원들이 실수나 교육 부실로 피싱 메일을 무심코 열어볼 수도 없다는 것이 중요합니다.”

악성 요소를 걸러내는 기준(정책)은 사용자가 설정할 수 있다. 그리고 다룰 수 있는 파일 포맷도 다양해, 마이크로소프트의 워드, 엑셀, 파워포인트는 물론 RTF, PDF 및 각종 이미지 파일 형식과 압축 파일들도 해체한 후 그대로 복원시킬 수 있다.

아비브 그라피는 이러한 기술을 바탕으로 회사를 설립했다. 보티로(Votiro)라고 이름을 붙이고 현재까지 CTO로 활동 중이다. 그러면서 솔루션들의 가격을 타 솔루션 대비 최대한 경쟁력 있게 맞췄다. “침투 테스터 활동을 통해 보안 솔루션의 높은 가격 때문에 이메일 공격에 많이 당한다는 걸 알고 있었거든요. 최대한 많은 기업들에게 도움을 주고 싶었습니다. 그렇기에 클라우드와 온프레미스 네트워크 형태 모두에도 적용이 가능하도록 했고요.”

보티로의 이메일 보안 기술은 일본에서 크게 각광받고 있기도 하다. 그것도 보수적이라 해외 기업이 뚫고 들어가기 힘들다는 정부 기관들 사이에서 말이다. “일본 정부기관에 솔루션을 도입시킨다는 건 쉽지 않아요. 하지만 다른 여러 해외 국가들에서 사용하는 MS 오피스 파일들이 표준이라 저희 기술의 강력함을 쉽게 입증할 수 있었습니다.”

한국은 어떨까? “아직 정부 기관으로까지 진출하지는 못했지만, 한국 시장에서 많이 사용되고 있는 HWP 파일도 해체하고 복구시킬 수 있도록 해뒀습니다. 실험까지 완료한 상태죠. HWP 파일을 연구하기 위해 시장 진출을 1년이나 늦췄을 정도입니다. HWP 파일도 저희가 안전하게 바꿔 사용자에게 전달할 수 있도록 했고, 한국 시장에서도 좋은 성적을 거둘 준비가 된 상태입니다.”

하지만 아비브 그라피 CTO는 보티로 제품 하나만 있으면 모든 게 해결된다고 말하지 않는다. 결국 보안은 “여러 겹으로 도모해야 하는 것(layered security)”이기 때문이다. 보티로가 제공하는 이메일 보안 솔루션은 그 여러 겹의 보안 요소 중 하나라고 그는 강조한다. “그렇긴 해도 대체 불가능한 보안 층위를 제공하고 있다고 믿습니다. 애초에 단 하나로 이메일과 네트워크를 다 보호할 솔루션을 만드는 게 목적이 아니었습니다. 상호작용하는 보안 요소들 중 꼭 거기 있어야만 하는 걸 만들고 싶었죠.”

현재 보티로는 한국의 소프트와이드 시큐리티를 통하여 프로모션을 진행하고 있다. 소프트와이드 시큐리티 웹사이트(www.softwidesec.com)을 통하여 문의 및 정보 열람이 가능하다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)