[NES2018]지란지교시큐리티, “문서에 삽입된 악성코드… 백신으론 못 잡는다”

실시간
뉴스

솔루션

[NES2018]지란지교시큐리티, “문서에 삽입된 악성코드… 백신으론 못 잡는다”

디지털데일리 발행일 2018-04-27 08:58:33

이형두

URL복사

[디지털데일리 이형두기자] 최근 해커들의 주요 수법 중 하나는 ‘사회공학’ 기법이다. 공격 대상자의 인맥 정보를 면밀하게 분석하고, 지인이 보낼법한 내용과 형식의 이메일을 보낸다. 공문 등으로 위장된 문서 파일을 열면, 피해자 단말을 장악하고 이를 기점으로 네트워크나 서버를 공격한다. 한글(HWP), 엑셀, PDF 등 대부분의 문서 파일에서 이 같은 수법이 활용되고 있다.

문서 안에서 악성코드는 ‘액티브 콘텐츠’ 방식으로 작동한다. 매크로가 대표적이다. 문제는 현존하는 백신, 샌드박스가 이를 대부분 잡아내지 못한다는 점이다. 실제 악성코드가 포함된 한 한글 문서파일을 ‘바이러스토탈’에서 검사한 결과 60개 엔진 중 악성코드를 잡아낸 것은 10여개에 불과했다.

지란지교시큐리티 이상준 이사<사진>는 26일 쉐라톤 서울 디큐브시티 호텔 그랜드볼룸에서 열린 ‘NES2018 차세대 기업보안 세미나’에서 “액티브 콘텐츠가 전부 악성코드로 활용될 수 있다는 것은 심각한 문제”라며 “그러나 이를 활용한 문서들도 굉장히 많아 무작정 못 쓰게 할 수도 없다”고 설명했다.

예컨대, 문서 안에 ‘오토 오픈’ 함수를 적용하거나 ‘임베디드 오브젝트’를 통해 실행파일을 워드 문서 파일 안에 그대로 넣을 수 있다. 이를 통해 간단하게 랜섬웨어를 가동하는 것이 가능하다. 백신은 이런 알려지지 않은 시그니처에 대한 대응이 어렵다. 샌드박스도 우회한다. 단순히 파일이 열렸을 때 동작하는 것이 아니라, 마우스 스크롤이나 클릭 시 동작하는 방식이다. 특정한 워드프로세서나 운영체제(OS) 버전에서만 동작하는 방식도 있다.

이날 행사에서 이상준 이사는 미디어 행사 초청 공문을 가정한 시나리오를 시연해 보였다. 지란지교시큐리티 기업담당자를 사칭한 이름으로 메일이 보내졌으며, 기존 공문과 똑같은 양식과 내용이 사용됐다. 문서 안에는 ‘제품 데모 영상을 보시려면 클릭하시오’ 등 악성코드 다운로드를 유도하는 문구를 넣었다. 이용자가 이 링크를 클릭하는 순간 악성코드에 감염된다.

이상준 이사는 백신, 샌드박스를 보완할 수 있는 방법으로 CDR(Content Disarm & Reconstruction) 방식을 추천했다. CDR은 문서파일 내 포함된 액티브 콘텐츠를 모두 삭제한다. 유해, 무해 여부는 가리지 않는다. 이후 이용자가 정상적으로 파일을 볼 수 있도록 파일을 재조립한다. 파일을 ‘무해화’하는 것이다.

이메일을 주고받는 단계에서도 활용할 수 있다. 메일박스에 해당 메일을 전달하기 전에 CDR서버에서 무해화 과정을 한 번 거치고, 다시 메일박스로 전달하는 것이다.

이상준 이사는 “최근 저희 회사에서 런칭한 ‘새니톡스’의 경우, 백신을 통해 알려진 시그니처를 제거하고 CDR을 통해 알려지지 않은 시그니처도 제거한다”며 “콘텐츠 시큐리티, 콘텐츠 프리벤션 엔진이라고 표현할 수 있다”고 말했다.

그는 “일본의 경우 지자체 정보보호 강화 대책이 도입돼 무해화 처리가 의무화됐다”며 “사이버위협 대응도 백신이나 샌드박스 등 ‘방어’뿐만 아니라, CDR같은 ‘예방’으로 진화가 필요하다”고 강조했다.

<이형두 기자>dudu@ddaily.co.kr