[기술기고] 콘텐츠 무력화·재조합(CDR) 기술 통한 위협 대응 방안

JiranSecurity

최근 신·변종 랜섬웨어, 보안 솔루션을 우회하는 악성코드의 등장으로 전통적인 보안 솔루션의 한계를 보완할 수 있는 새로운 보안 기술이 요구되고 있습니다. 이러한 요구에 대응할 수 있는 새로운 대안으로 제시되고 있는 ‘콘텐츠 무해화 및 재조합(CDR : Content Disarm and Reconstruction)’ 기술에 대해 살펴보겠습니다.

* 글 : 지란지교시큐리티 박상훈 메일보안연구팀 팀장

 

보안 위협 트렌드와 문서 기반 악성코드 공격

 

랜섬웨어, APT 공격, 악성코드, 제로데이 공격, 이 외에 알려지지 않은 수많은 위협에 기업 노출되어 있습니다. 기업을 타겟으로 한 공격 중에서도 문서 기반 악성코드 공격은 오늘날 매우 일반적인 공격 방법입니다. PDF 및 Word 파일과 같은 대부분의 문서는 잠재적으로 악의적인 콘텐츠가 숨어있을 수 있으며 이러한 파일의 변경은 전 세계 기업의 사이버 보안에 가장 큰 위험이 되었습니다. 최근 중소기업, 대기업 및 정부 기관은 모두 문서 기반 공격으로 공격 받고 있으며, 종종 문서는 스피어피싱 공격을 통해 전송됩니다. 그러나 현 보안 시스템이 이러한 잠재적인 위협을 모니터 하거나 평가할 수 없기 때문에 많은 기업들이 사이버 공격의 규모를 더 잘 이해하고 있음에도 불구하고 취약한 상태로 남아 있습니다.

그 결과 매일 전자메일의 첨부파일을 받는 조직이 PDF, Word, Excel 및 PowerPoint 파일의 구조적 취약성을 조작하는 공격자에 의해 공격 받고 있습니다. 이러한 방법을 통해 배포되는 악성 코드는 목표 컴퓨터에 악성 코드를 설치하기 위해 일반적으로 오래된 취약한 소프트웨어에 의존합니다. 악성 코드는 파일이 열리자 마자 자동으로 실행되거나 서버에서 악성 코드를 다운로드 합니다. 악성 코드는 파일을 암호화하는 랜섬웨어, 키로거, 스파이웨어, 봇넷 등이 포함됩니다. 특히 랜섬웨어 악성코드는 최근 지속적으로 증가하고 있습니다.

 

콘텐츠 무해화 및 재조합 기술의 구분

 

이러한 유형의 공격으로부터 보안을 강화하기 위해 추가 할 수 있는 단계로 데이터 무해화라고 하는 콘텐츠 무해화 및 재조합(CDR : Content Disarm and Reconstruction, 이하 CDR) 기술은 문서 기반 악성 코드로부터 보호 할 수 있는 최신의 한가지 방법 입니다. CDR은 파일의 유용성을 유지 하면서 파일내의 매크로, 자바스크립트, 임베디드된 객체, 외부 링크, 취약점 공격 및 제로데이 공격을 제거하기 위해 고안된 일련의 기술입니다.

CDR 기술은 다음 세 가지 방법 중 하나로 수행됩니다.

1. 파일의 내부 구조 변경

2. 콘텐츠 제거

3. 파일을 다른 형식으로 변환

 

1. 파일의 내부 구조 변경

소프트웨어 취약점을 이용하기 위해 문서에 포함된 악성 코드는 사용자가 인지하지 못하도록 되어 있습니다. 예를 들어 PDF문서를 열었을 때, 자바스크립트가 백그라운드에서 실행 중 임을 인식하지 못한 채 취약한 소프트웨어를 활용하여 컴퓨터를 감염시킬 수 있습니다.

파일 내부 구조 변경은 파일에 포함된 스크립트를 변경합니다. 예를 들어 문서의 보이는 내용은 변경하지 않고 매크로 혹은 자바스크립트를 비활성 상태로 만들거나, 파일 내 구성요소 중 메타 데이터 및 오브젝트를 비활성화 합니다. 또 다른 기술은 일반적으로 문서 파일에 포함되지 않은 구성 요소를 찾고 예상되는 매개 변수를 벗어나는 파일의 일부를 제거하는 등 문서 구조를 확인합니다.

이러한 방법은 세부적은 스크립트 내용 및 기타 포함된 내용을 정밀하게 분석하여 악성 인지 혹은 안전한지의 여부를 판단하는 시간을 절약 할 수 있습니다. 사용자들은 제로데이 공격과 알려지지 않은 위협에 노출 될 수 있습니다. 문서 파일 내 임베디드된 오브젝트를 가진 모든 문서 파일을 의심스러운 것으로 판단함으로써 이러한 파일 구조 변경으로 문서 기반 위협을 비활성화하고, 문서의 원래 서식을 유지하는 효과적인 방법이 될 수 있습니다.

그러나 이러한 방법은 매크로, 스크립트, 임베디드된 오브젝트가 항상 위협이 되는 것이 아니기 때문에 사용자가 사용 할 수 없는 문서를 표시할 수 있습니다.

 

2. 콘텐츠 제거

콘텐츠 제거는 문서 파일 내 액티브 콘텐츠를 제거합니다. Microsoft Office 문서의 매크로, PDF 문서의 JavaScript 및 최근의 EPS 스크립트 내용 등이 액티브 콘텐츠에 해당합니다. 문서 내에는 매크로, 스크립트와 별도로 임베디드 파일을 저장 할 수 있는데, 이러한 임베디드 파일은 매크로, 스크립트를 통해 함께 사용 될 수 있습니다. 임베디드 파일에는 글꼴, 이미지 또는 실행 파일 및 다른 형식의 문서파일이 포함될 수 있습니다.

콘텐츠 제거는 문서 파일 내에 콘텐츠를 물리적으로 제거하거나 액티브 콘텐츠를 비활성화하거나 의미 없는 데이터로 변경합니다. 이러한 방법으로 액티브 콘텐츠를 효과적으로 제거하려면 파일의 내부 형식을 정확히 해석 할 수 있어야 하며 또한 파일이 정상적으로 표시되기 위해 일반적으로 파일에 연결된 소프트웨어의 동작 방식에 영향이 미치므로 주의해서 제거해야 합니다. 잘못된 콘텐츠 제거는 문서의 올바른 표시를 못 할 수 있습니다. 모든 유형의 파일에서 콘텐츠 제거를 할 수 있는 일반적인 방법은 없습니다.

 

20170906170737

20170906171112
▲무해화 사례 : 악성 매크로가 포함 MS Word 파일이 첨부된 PDF 파일 무해화 전(위) 무해화 후(아래)

 

3. 파일을 다른 형식으로 변환

또 다른 방법으로 파일을 다른 형식으로 변환하는 방법입니다. 예를 들어 Microsoft Office 문서를 PDF 문서로 변환하거나, PNG 이미지 파일을 JPG 파일로 변환하는 방법입니다.

이러한 변환 방법의 장점은 구조 변경 또는 콘텐츠 제거를 하지 않고도 액티브 콘텐츠로 인한 위협을 제거할 수 있다는 것입니다. Microsoft Office의 문서 내 매크로가 삽입된 문서는 PDF 문서로 변환하면서 매크로 위협이 제거되는 등의 효과를 예로 들 수 있습니다. 상호 호환되지 않은 액티브 콘텐츠가 제거 됨으로써 위협 제거에 이점이 있습니다. 그러나 원본 파일의 내부 형식을 정확히 해석 할 수 있어야 하며 변환될 파일의 내부 형식 또한 정확히 이해해서 변환해야 하며, 변환 과정에서 많은 비용이 증가 될 수 있다는 단점이 있습니다.

 

악성코드 대응을 위한 콘텐츠 무해화 및 재조합 기술 적용

CDR 기술은 Gartner에서 첨부파일 형태의 공격에 대한 솔루션으로 추천하고 있는 기술로 각광받고 있으며, 최근 가상머신을 우회하는 수준까지 진화한 악성코드에 대한 대응책이 될 수 있을 것으로 기대되고 있습니다. CDR 기술이 제로데이 공격 혹은 알려지지 않은 공격을 효과적으로 대응 하기 위해서는 위에서 언급한 다양한 방법으로 결합하여 지속적인 고도화가 진행되어야 할 것으로 보이며, 현재 해당 분야에 대한 R&D를 지속하고 있습니다.

intro_visual_14_2

기업의 경우 CDR 기술과 기존의 안티 바이러스 백신, 샌드박스 기반 분석 시스템 등의 엔터프라이즈 방어 수단 접근 방식으로 생성된 취약성 지표를 함께 사용하면 전체 보안 영역에서 자원 배포에 실질적인 이점을 얻을 수 있겠습니다.다만 위에서 언급한 무해화 및 재조합 방식별 차이점과 장단점을 비교하여 기업 정책 및 기업 내 보안 영역에 적합한 올바른 방식으로 적용 해야 할 것입니다.

 

※ 지란지교시큐리티에서는 CDR을 무료로 테스트해볼 수 있는 데모 사이트를 운영 중에 있습니다. CDR 기술에 관심이 있으신 독자는 아래 링크를 통해 테스트 해보실 수 있으니 참고 부탁드립니다.

DocuZ 콘텐츠 악성코드 무해화 서비스 사이트 : https://docuz.jiransecurity.com/scan/


※ 해당 사이트의 모든 콘텐츠는 저작자표시-비영리-변경금지 라이선스 정책이 적용됩니다. by-nc-nd

목록