컨텐츠 악성코드를 무력화하는 CDR 보안 솔루션

 

 

과거 해커들이 첨부 파일이 포함된 피싱 메일을 보낼 때는 윈도우의 실행파일을 보내는 경우가 많았습니다. 그런데 대부분의 메일 서버에서 실행 파일을 차단하는 정책을 도입한 후로는 그러기 어려워졌죠. 이후 해커들은 실행 파일을 압축한 후 비밀번호를 걸어서 내부 실행 파일을 탐지하지 못하도록 만들기도 하는데요.

 

최근에는 업무에 사용하는 문서에 악성 매크로를 추가하여 정상적인 메일로 위장해 보내고 있습니다. 이는 사용자들이 문서 파일은 안전하다고 생각하는 허점을 노린건데요. 이렇게 문서형 악성코드가 증가하자 나온 CDR 솔루션이 각광받고 있는데 오늘은 이 보안 솔루션에 대해 설명드리도록 하겠습니다.

​

이 CDR(Content Disarm and Reconstruction)은 컨텐츠 무해화 솔루션이라고도 부릅니다. 문서 안에 악성 매크로나 외부로 연결되는 이미지와 같은 컨텐츠가 존재할 경우, 해당 컨텐츠만 제거해서 파일을 재구성하는 보안 솔루션이죠. 제가 앞서 피싱 메일을 설명하면서 문서 파일에 대해서만 적용 가능한 것처럼 설명드렸는데요.

 

하지만 DOC나 PDF와 같은 문서 파일뿐만 아니라, 이미지, 압축 파일 등 다양한 파일에 대해서 적용이 가능합니다. CDR의 기본 원리가 파일을 기본 요소로 분해해서 악성 요소를 제거하고 다시 원래의 기능을 하는 파일로 복원하는 것이기 때문에, 구조만 세세하게 알 수 있다면 어떤 파일에도 적용할 수 있죠.

​

그럼 이 CDR 솔루션이 기업의 외부망과 내부망 사이에 설치되는 경우를 한 번 예로 들어보겠습니다. 보통 기업에서 보안을 위해 외부망과 내부망을 분리해놓는 망분리를 적용하고, 망 사이에 망연계 시스템을 이용해서 파일을 전달하게 되죠.

 

이 망연계 시스템에는 외부망에서 내부망으로 들어오는 파일이 악성코드인지 탐지하는 백신뿐만 아니라 컨텐츠 악성코드를 무력화시키는 CDR을 활용할 수 있습니다. 만약 외부 메일 서버에서 내부 메일 서버로 들어오는 메일에 첨부 파일로 문서가 있었다면 해당 문서가 안전한지 확인하고, 그렇지 않다면 분해해서 안전하게 만든 후 내부망으로 전달하는거죠.

​

사실 문서를 분해해서 내부에 악성 매크로가 포함되어 있었다면, 악성코드 차단 관점에서 다시 파일을 재구성하지 않고 삭제할 수도 있을거라 생각합니다. 하지만 기업에서는 업무의 연속성을 우선 순위로 두기 때문에, 업무에 지장이 없도록 악성 요소만 제거하고 재구성해서 일단은 보낸다는 관점으로 개발되었다고 보시면 될 것 같습니다.

 

초기 CDR이 간단한 버전으로 출시되었을 때는, 워드와 같은 문서에 매크로가 포함되어 있으면 실행이 불가능하도록 PDF로 변환해서 사용자에게 전달하기도 했었는데요. 다만 이렇게 되면 수식 계산과 같이 업무를 위해 추가한 매크로의 기능을 손상시키게 됩니다. 그러다 보니, CDR이 악성 요소를 탐지하여 최대한 제거하는 방향으로 발전하게 된 것이죠.

 

[CDR 리포트] 2020년 가장 ‘핫’한 보안 아이템 ‘CDR’ 집중해부

 

제가 이전 회사에서 R&D 연구원으로 있었을 때, 메일 클라이언트에 적용할 수 있는 경량화 된 CDR을 개발했던 적이 있었습니다. 그때에도 오피스 문서의 구조를 분석해서, 내부에 있는 매크로를 추출하고 악성코드로 탐지할 만한 API가 존재하는지 확인하여 탐지하도록 구현했었죠.

 

개인적으로는 CDR의 핵심이 악성 요소를 탐지하는 것보다도 파일의 구조를 잘 분석할 수 있는가가 아닌가 싶습니다. 여기까지 간단하게 CDR 솔루션에 대해 설명드렸고, 추후 기회가 된다면 CDR 솔루션을 구현하는 방법에 대해서도 말씀드리도록 하겠습니다. 그럼 이번 글은 여기서 마치도록 하죠. 감사합니다.