[G-PRIVACY 2021-영상] 시큐레터 “비실행파일(문서)을 통한 해킹 위협과 대응 방안” 제시

상반기 최대 개인정보보호&정보보안 컨퍼런스 G-PRIVACY 2021이 4월 28일과 29일 양일간 온라인으로 1,700여 명이 참석한 가운데 성황리에 개최됐다.

이 자리에서 시큐레터 임차성 대표는 ‘비실행파일(문서)을 통한 해킹 위협과 대응 방안’을 주제로 강연을 진행했다.

임차성 대표는 “이메일 내 문서를 통한 악성코드 위협이 증가하고 있다. 최근 5년간 침해유형 비율에서 악성코드 공격 비율이 54%가 넘고 특히 이메일에 첨부된 문서파일을 통한 공격 비율이 70%가 넘고 있다”며 “이제는 어떠한 문서파일도 그대로 믿을 수 없는 상황이다”라고 경고했다.

초창기 공격 유형은 실행 파일 자체를 첨부해 실행 시, 악성행위를 바로 일으키므로 실행 파일 첨부 자체를 차단할 수 있었다. 이에 공격자들은 실행파일(.exe, .dll 등) 첨부가 막히자 비실행 파일, 즉, 일반 문서 파일의 취약점을 이용한 공격을 시도하고 있다. 파일에 사회공학적인 요소까지 추가해 사용자로 하여금 문서 파일을 열람하도록 유도하고 있어 위험성은 더욱 커지고 있다.

시그니처 기반의 보안시스템을 교묘히 피해가는 공격자들에 대한 대비를 어떻게 해야 할까.

임차성 대표는 “샌드박스(행위 기반) APT 솔루션은 행위가 일어나지 않을 시 탐지 불가하고, 여러 형태의 환경에서 행위를 분석하기 때문에 많은 진단 시간이 소요되며 가상환경 회피, 시간차 공격, 사용자 행위 조건 공격에 대한 대처가 안되는 것이 한계다”라고 지적했다.

이에 반해 시큐레터 엔진은 “시스템을 역으로 분석해 동작 과정을 파악하고 취약점 동작을 검사하는 리버스 엔지니어링 즉, 어셈블리 레벨 분석을 제공하고 있다”며 “파일을 입력받고 처리하고 출력하는 과정을 리버스 엔지니어링으로 분석해 전체 과정을 모니터링하고 입력, 처리, 출력 과정에서 악성행위를 발생시키는 익스플로잇을 탐지하고 차단하는 기능을 제공한다”고 설명했다.

이어 시큐레터 엔진을 기업 메일에 적용한 사례를 소개하며, 직원수 4천명, 일평균 3만2천건의 메일과 3천671건의 첨부파일이 메일로 전송되는 상황에 시그니처 기반 백신이 악성문서를 탐지한 것은 8건에 불과했지만 시큐레터 동적탐지를 통해 40건이 탐지됐다고 소개했다.

시큐레터 MARS SLE는 메일에 포함된 지능화된 악성코드를 미리 탐지해 최상의 이메일 보안을 구축할 수 있다. 또 MARS SLF는 파일이 내부 시스템에 들어오는 경로에 배치해 효율적으로 위협을 제거할 수 있다. 이는 문서 집중화 솔루션, 망연계 솔루션, 웹 공용 게시판 등과 연계해 활용할 수 있다.

임차성 대표는 “MARS SLF는 어셈블리 레벨 진단으로 압도적인 진단율과 오진 및 과탐을 최소화하고 기존 APT 솔루션 대비 진단시간을 80% 감소시킨다. 그리고 독자적인 진단방법으로 공격자들의 진단 회피를 무력화 시킬 수 있다”며 “시큐레터는 기존 시그니처 기반, 행위 기반 APT 솔루션의 대응 취약점을 보완하고, 리버싱을 통해 악성코드 공격을 근원적으로 탐지·진단·분석·차단하는 솔루션을 제공한다”고 밝혔다.

특히 2021년 1월 1일부터 금융권은 개정된 시행세칙을 준수해야 한다. 이전에는 ‘지능형 해킹 차단 대책 수립’에서 ‘지능형 해킹 차단 대책 수립 적용’으로 개정되었다. 보다 적극적인 대처와 대응방안을 적용해야 할 시점이다.

보다 상세한 내용은 시큐레터 G-PRIVACY 2021 강연영상을 참고하면 된다. 아래는 시큐레터 제품에 대해 보다 상세한 정보를 얻을 수 있는 영상이다. 시큐레터 임차성 대표 강연자료는 데일리시큐 자료실에서 다운로드 가능하다.