의심스러운 링크와 첨부파일 검증을 위한 보안 서비스
시장동향 이야기
최근 사이버 위협은 기업과 같은 조직보다는 상대적으로 보안에 취약한 개인을 노리는 형태로 더욱 기승을 부리고 있습니다. 이러한 공격은 타겟 대상에 대한 조사 및 분석을 통해 타겟에 최적화된 형태로 진행이 되기 때문에 실제 타겟이 된 개인이 위협을 의심하기 어렵다는 것이 가장 큰 특징이라고 할 수 있습니다.
대체적으로 외부와의 커뮤니케이션을 위한 수단으로 사용되는 이메일을 통해 유입되며, 타겟이 이메일에 포함된 악성 링크나 악성 첨부파일 등을 클릭하거나 다운로드 하도록 유도하기 위하여 정상 메일과 같이 본문 및 서명, 발신자 도메인 등을 위조, 구성되어 있습니다. 타겟이 된 수신자는 별다른 의심 없이 악성 링크를 클릭하거나 악성 첨부파일을 다운받고 실행하게 되고, 결국 랜섬웨어에 감염되거나 저장되어 있는 정보들이 유출되는 피해를 입게 되는 것이죠. 만약, ‘2018년 인사 발령 안내’, ‘임직원 대상 콘도 이용 안내’ 등의 제목으로 본문과 링크 등이 구성된 메일을 수신했다고 할 때, 클릭하지 않을 수 있을까요? 아마 많은 사람들이 의심하기 보다는 클릭할 것입니다.
물론, 기업이나 조직에서 보안 솔루션을 구축, 운영하고 있다면 위협에 대한 리스크는 확실히 줄어든다고 할 수 있습니다. 그러나, 모든 기업들이 보안 솔루션을 구축하고 있는 것도 아니며, 구축한 솔루션 역시 100% 안전하다고 할 수는 없습니다. 또한, 보안 솔루션의 범위에서 벗어나난 개인 계정 등은 보호될 수 없기 때문에 별도의 보안이 필요합니다.
그렇다면 개인이 이용해볼 수 있는 보안 서비스에는 어떤 것들이 있을까요.
1. Virus Total
바이러스 토탈은 다양한 백신 엔진을 통해 파일 및 링크에 대한 위험 여부를 진단해주는 사이트로 파일과 링크 그리고 기타 IP 주소 및 도메인, 파일 해시값 등에 대한 스캐닝을 지원합니다. 글로벌 백신부터 국내 백신까지 약 60여개 이상의 백신 엔진을 통해 위협을 진단해주기 때문에 기업이나 개인이 자체적으로 도입, 운영하는 단일 또는 소수의 백신 엔진에서 탐지하지 못 한 악성코드에 대해서도 어느정도 탐지가 가능합니다. 여기서 어느정도 탐지가 가능하다는 말은 백신 엔진마다 보유하고 있는 악성코드 시그니처가 상이하기 때문에 동일한 악성코드에 대해서도 탐지, 미탐지하는 엔진으로 구분될 수 있다는 의미입니다.
실제로 얼마전 이슈가 되었던 오피스 DDE 취약점을 이용한 워드 파일 샘플을 바이러스 토탈에서 스캐닝한 결과, 60개의 백신 엔진 중 21개의 엔진에서만 해당 파일이 위험하다고 탐지되었습니다. 앞서 말씀드린 것처럼 보유하고 있는 시그니처가 상이하기 때문에 해당 시그니처가 업데이트되지 않은 백신 엔진에서는 위험 여부를 탐지할 수 없기 때문입니다. 다수의 백신 엔진을 통해 미탐지율을 최소화할 수 있다는 것이 결국 바이러스 토탈의 강점이라고 할 수 있습니다.
바이러스 토탈은 별 다른 회원가입 없이 이용할 수 있기 때문에 개인도 쉽게 이용할 수 있습니다. 의심스러운 이메일 본문의 링크나 웹 사이트 링크 그리고 다운로드 받은 첨부파일의 실행 이전에 바이러스 토탈을 통해 위협 유무를 1차적으로 진단해 볼 수 있습니다.
2. Content Disarm & Reconstruction
Content Disarm & Reconstruction(이하 CDR)은 최근 증가하고 있는 MS 오피스, PDF 등과 같은 파일 기반의 공격에 대한 대응 방안으로 주목 받고 있는 기술입니다. 여기서 말하는 파일 기반의 공격은 문서 파일 포맷이 제공하는 매크로, 자바스크립트, OLE Object, Embedded Document 등과 같은 액티브 콘텐츠를 이용하여, 사용자가 문서 파일 실행 시 삽입되어 있던 매크로가 실행되면서 코드에 포함되어 있는 악성코드 다운 및 실행 동작을 수행하는 형태라고 할 수 있습니다. CDR은 문서 파일의 구조 분석을 통해 액티브 콘텐츠 영역을 탐지하고, 해당 영역을 제거 및 비활성화한 후 재구성하여 안전한 문서 파일만을 제공하는 예방적 보안 개념의 기술로 현재 국내에 소개되고 있습니다. CDR 역시 바이러스 토탈처럼 개인이 이용할 수 있는 데모 서비스가 존재합니다. 이번 콘텐츠에서는 글로벌 데모 서비스 1개와 국내 데모 서비스 1개에 대하여 간략히 소개해드리겠습니다.
1) OPSWAT(MetaDefender)
옵스왓의 메타디펜더는 앞소 소개드린 바이러스 토탈과 같은 멀티 백신에 CDR 을 함께 제공합니다. 바이러스 토탈을 이용하지 않더라도 옵스왓의 메타디펜더에 파일을 업로드하면 다수의 백신 엔진을 통해 진단한 결과를 제공합니다. 위에서 테스트한 DDE 취약점 샘플 워드 파일의 경우 옵스왓이 제공하는 36개의 백신 엔진 중 5개에서 탐지되었습니다. 그리고 해당 파일에 대하여 CDR이 적용된 안전한 파일의 다운로드를 제공합니다. 다만, 동일 IP에서 서비스를 계속 이용할 경우 사용자 정보를 요구하기 때문에 지속적으로 서비스를 이용하기 위해서는 회원가입을 하는 것이 좋습니다. 멀티 백신과 CDR을 함께 제공하기 때문에 바이러스 토탈을 이용하지 않고도 충분히 두 가지 보안을 적용할 수 있다는 강점이 있는 반면, 한컴오피스(HWP)에 대한 지원이 아직까지 베타(beta) 버전이기 때문에 한컴오피스(HWP)에 대해서는 CDR 적용이 완벽하지 않다는 단점도 존재합니다.
2) 지란지교시큐리티(SaniTox)
지란지교시큐티가 제공하는 DocuZ 데모 사이트는 CDR을 통한 파일 무해화 기능만을 현재 제공하고 있습니다. 국내 기업인 만큼 한컴오피스(HWP)를 정식으로 지원하는 것이 특징입니다.
위의 두 가지 CDR 데모 서비스 외에도 몇 가지 서비스(VOTIRO, 소프트캠프 등)들이 존재하지만 서비스별로 지원하는 포맷이 조금씩 상이하고, CDR 수행 후 결과 파일 역시 약간씩 다르기 때문에 어떤 서비스를 이용할 것인지에 대해서는 테스트를 통해 선택하시기를 추천드립니다. 마지막으로 CDR은 파일의 위협 유무를 탐지하여 위협 요인을 제거하는 것이 아니라 위협이 될 수 있는 모든 액티브 콘텐츠를 제거하는 개념이기 때문에 정상적인 기능을 위해 삽입된 액티브 콘텐츠도 제거된다는 것을 유념하고 이용하시기 바랍니다.
바이러스 토탈과 CDR 데모 서비스를 통해 의심스러운 링크와 파일에 대하여 검증하는 보안 문화가 자리잡기를 희망합니다. 조금이라도 업무에 도움이 되셨으면 좋겠습니다. 감사합니다.
※ 본 글을 비롯하여 다양한 콘텐츠들을 새벽을 여는 IT 연구소에서 만나실 수 있습니다.
