파일에 숨겨진 악성코드만 골라먹는 ‘콘텐츠 보안 솔루션’
국내외 CDR(콘텐츠 악성코드 무해화) 솔루션 시장현황 분석
대표적인 CDR 솔루션, 옵스왓 ‘메타디펜더(MetaDefender) Deep CDR’ 리뷰
[보안뉴스 원병철 기자] 최근 사이버공격의 일반적인 방법은 이메일에 첨부파일이나 URL을 삽입한 후, 이를 클릭해 악성코드를 실행하도록 하는 방식이다. 언뜻 생각하면 별 것 아닌 것 같지만, 기관이나 단체를 사칭하는 것부터 이력서나 발주서 등을 사칭해 무의식중에 열어보도록 하는 기상천외한 방법을 사용하는 탓에 생각보다 많은 사람들이 이러한 공격에 당하기 일쑤다. 특히, 이렇게 첨부파일이나 URL을 통해서 악성코드를 실행할 경우 기존 보안 솔루션으로 막지 못하는 경우도 있기 때문에, 보안담당자 입장에서는 아주 답답한 공격이기도 하다. 다행히도 이러한 상황에 딱 맞는 솔루션이 하나 존재한다. 바로 CDR(콘텐츠 무해화 솔루션, Content Disarm&Reconstruction)이다.
[자료=보안뉴스]
2000년 초반, 안티 바이러스 기업들이 파일에서 매크로를 제거하는 시도를 했는데, 업계에서는 이 시도가 CDR의 시작이라고 보고 있다. 2004년 북대서양조약기구(NATO)가 본격적인 연구를 시작했고, 2010년대에 이르면서 보안기업들이 CDR 연구에 돌입한 것으로 알려졌다. 초기에는 CDR이란 용어가 아닌 기업마다 ‘클린 콘텐츠(Clean Content)’나 ‘데이터 살균(Data Sanitizer)’, ‘위협 추출(Threat Extraction)’ 등 다양한 용어를 사용했다. 이후 2016년 가트너가 자사 보고서에서 첨부파일 형태의 공격에 효과적인 대응 솔루션으로 CDR을 지목하면서 본격적으로 시장이 형성되기 시작했다. 현재 CDR 분야의 대표기업은 미국의 옵스왓(OPSWAT, 한국총판 인섹시큐리티)과 이스라엘의 보티로(VOTIRO, 한국총판 소프트와이드시큐리티), 한국의 소프트캠프와 지란지교시큐리티 등이며, 일본을 비롯해 이스라엘과 미국, 그리고 한국에서 이제 막 사업이 활성화되고 있다.
CDR의 출발점인 해외시장, 이스라엘·일본·미국 중심으로 시장 형성
현재 CDR이 활발하게 사용되는 국가는 이스라엘과 일본, 미국으로, 특히 일본의 경우 정부에서 관련법을 수정하며 파일 무해화를 강제화해 CDR 시장이 급속하게 성장하고 있다. 2015년 발생한 일본 연기금 기구의 ‘개인정보 125만 건 유출사건’을 계기로 총무성에서 지자체의 정보보안 강화 대책을 위해 망분리와 무해화를 지침화하고 막대한 예산을 편성했기 때문이다. 또한, 2017년 문부과학성에서도 교육정보 보안정책지침에서 무해화를 의무화했다.
이 때문에 일본의 CDR 시장은 급속한 성장을 이루고 있다. 일본 리서치 기업 ITR에 따르면 일본 CDR 시장은 2018년 기준 약 16억엔(약 170억원)으로 추정되고 있다. 특히, 우리나라가 망분리 후 파일을 이동할 때 망연계 솔루션을 이용해 보안을 강화했다면, 일본은 파일 자체에 문제가 없는지 확인하는 CDR을 선택했기 때문에 일본에서 CDR이 활발하다고 업계에서는 설명하고 있다.
유럽과 미국은 일본만큼은 아니지만 CDR의 잠재력을 높이 보고 정부와 기관에서 먼저 움직이고 있다. NATO는 CDR 기술을 일찌감치 연구한 것으로 알려 졌으며, 미국 국토안보부도 지난 2017년 카네기멜론 대학과 함께 CDR 솔루션 테스트를 진행하는 등 미국과 유럽에 서도 CDR에 대한 관심이 높은 편이다. 특히, 미국 국토안보부는 기업과 시민들의 보안에 도움이 될 솔루션이나 기술을 연구하거나 BMT 등을 통해 성능을 평가한 뒤 공개하는 일을 자주 하는데, 2011년 11월 발표한 ‘안전한 사이버 미래를 위한 청사진(Blueprint for a Secure Cyber Future)’ 보고서를 통해 시큐어코딩을 강화하도록 권고한 것이 그 예라고 업계에서 설명하고 있다. 이는 국토안보부가 CDR을 주목하고 있다는 것만으로도 다음 세대 정보보안 솔루션으로 성장할 수 있다는 것을 의미한다.
리서치 기업인 ‘MarketandMarkets’는 2019년 CDR 시장전망 보고서를 통해 “CDR은 13.5%의 연평균 성장률(CAGR)을 보일 것이며, 2018년 1억 5,800만달러(약 1,836억원)에서 2023 년 2월 9,800만달러(약 3,463억원)로 성장할 것”이라고 밝힌 바 있다.
한국 CDR 시장, 공공과 금융권 중심으로 니즈 급증
한국은 이제 막 CDR 시장이 형성되고 있으며, 시장 규모 역시 아직은 집계할 만큼은 아닌 것으로 알려졌다. 그럼에도 초기 CDR에 대한 이해 부족은 어느 정도 해소된 것으로 보인다. <보안뉴스>가 2018년 CDR 시장조사를 했을 때 당시 관련기업들은 “영업할 때 가장 어려운 점이 고객들에게 CDR을 이해시키는 것”이라고 말했다. 고객들이 CDR을 잘 모르기 때문에 시장이 형성되지 않고, 시장이 형성되지 않기 때문에 후발주자들이 뛰어들기를 주저하고 있다는 설명이었다. 게다가 후발주자들이 시장에 진입하기엔 ‘진입장벽’ 때문에 쉽지 않은 상황이었다는 것.
하지만 2019년부터 고객들의 이해도가 증가하면서 시장이 빠르게 변화하고 있다. 금융권과 공공분야를 중심으로 CDR에 대한 니즈가 급증하고 있다고 업계에서는 설명하고 있다. 허효승 소프트와이드시큐리티 이사는 “일본 국무성에서 외부망에서 내부망 구간에 유입되는 파일에 대한 정화를 해야 한다는 컴플라이언스가 있어 이를 바탕으로 국내에도 마케팅을 진행했다”면서, “현재는 많은 고객사에서 이메일 및 망분리 구간에 대해서 CDR 기술을 검토 중이며, 요구사항이 계속적으로 증가하고 있다”고 말했다. “2019년 한해 동안 금융권에서 이러한 CDR 기술에 대한 성능을 검증하기 위한 움직임도 있었으며, 실제 PoC 등의 단계까지 진행돼 도입 검토까지 하고 있습니다.”
이상준 지란지교시큐리티 이사도 “최근 공공분야에서 게시판 보안강화 가이드라인과 Plug-in 제거 가이드라인 등이 발표되면서 외부에서 내부 또는 내부에서 외부로 유통되는 문서 및 서비스되는 파일에 대한 무해화 처리가 이슈화되면서 관심이 높아지고 있다”고 설명했다.
또한, 금융에서도 외부에서 유입되는 문서 및 청구서류를 통한 악성코드가 다수 발견되고, 이들 공격 대부분이 기존 보안 솔루션을 회피해 공격하는 사례가 많아지면서 문서에 포함돼 있는 악성코드(제로데이 포함)에 대응하고자 CDR 솔루션 도입을 검토하고 있다고 덧붙였다.
CDR, 파일복원과 분석정보 표출 등에 초점 맞춰 진화중
그렇다면 현재 CDR의 최신 기술동향은 어떨까? 사실 앞서도 설명했지만 CDR은 쉬운 기술이 아니다. 일각에서는 CDR 기술 자체가 진입장벽으로 존재한다고 할 정도로 어렵다고 한다. CDR은 파일을 분해해 악성파일 혹은 불필요한 파일을 제거하고 콘텐츠는 원본과 동일하게 새로운 파일을 만드는 솔루션이다. 즉, 한글, 워드, 액셀, 이미지(JPG 등), PDF, PPT, CAD 등 거의 모든 콘텐츠를 분석하고 재구성할 정도로 ‘알아야’ 하는데, 이게 쉽지 않다. 게다가 이 작업들이 시간이 오래 걸려서도 안 되고, 무엇보다 ‘원본’과 완벽하게 ‘동일’해야 한다. 예를 들면, 액셀을 분해해서 재구성할 경우 액셀의 수식이 풀어지는 경우가 있는데, 이러한 문제없이 100% 원본과 동일한 파일을 만드는 게 중요한 기술이라는 것이다.
특히, 우리나라의 한글 프로그램처럼 국가나 기업이 별도로 원하는 포맷이 있기 때문에 기술적으로 쉽지 않다고 업계에서는 설명한다. 옵스왓이나 보티로 등 외국계 제품 역시 우리나라에 진출하면서 이러한 점 때문에 별도의 작업을 통해 한글을 추가한 것으로 알려졌다.
또한, 바이러스 분석처럼 콘텐츠의 구조를 분석해야 하기 때문에 꼼꼼해야 하며, 콘텐츠 프로그램의 업데이트가 있으면 CDR도 업데이트를 해야 하기 때문에 안티 바이러스처럼 업데이트도 지속적으로 해야 한다는 어려움을 토로하기도 한다. 이러한 점 때문에 CDR의 공급은 단품 판매가 아닌 라이선스 방식으로 운영되고 있다. 게다가 별도 제품으로 만들어 판매되기 보다는 메일이나 안티 바이러스 제품과 같은 솔루션과의 공동 작업을 통해 제공되는 경우가 많다.
이 때문에 시장 초기에는 CDR의 D, 즉 해체(Disarm)에 초점이 맞춰졌다. 파일의 ‘안전성’에 초점을 맞췄다는 얘기다. 이로 인해 일각에서는 안전을 위해 파일이 원래 갖고 있던 기능이 손상돼도 어쩔 수 없다고 말한다. 엑셀의 복잡한 수식이 담겨 있거나 문서 내에 또 다른 파일이 담겨 있는 경우 완벽하게 복원이 안 될 수도 있고, 안전을 위해서 해체 후 삭제할 수도 있다는 의미다. 이에 CDR은 해체 전의 원본 파일을 별도로 저장하기도 한다.
하지만 현재는 CDR의 R, 즉 ‘복원(Reconstruction)’에 더 초점을 맞춰 발전하고 있다. 업계의 전문가들은 “일본의 경우 악성코드 제거에 좀 더 무게중심을 두고 무해화 솔루션을 다루는데 반해 국내의 경우에는 업무의 연속성을 유지하고 사용자의 클레임을 적게 받을 수 있는 솔루션을 제공받기 원하는 고객사가 많다”고 설명한다. 아울러 최근에는 관리 및 분석 기능에 대한 요구도 늘고 있다. 예를 들면 상세한 분석 정보, 위험도 분석, 연계 편의성, 확장성 등을 요구한다는 것이다. 이는 CDR의 필요성은 알지만 이메일 보안 솔루션이나 망분리 솔루션 등과 겹친다고 생각하는 C레벨의 관리자를 이해시키기 위해서라고 전문가들은 설명한다.
지금까지 콘텐츠 악성코드 무해화 기술, CDR에 대해 알아봤다. CDR이 국내 시장에 소개된 시간은 대략 5년 남짓으로 이제 막 시장이 형성되고 있지만, 일본 및 미국 정부와 기관이 주목하면서 그 가능성을 인정받았다. 특히, CDR은 기존 엔드포인트 보안 제품과 접목하면 성능이 배가될 수 있기 때문에 제품과 제품, 기업과 기업의 콜라보(협업)가 더욱 기대되고 있다.
아울러 보안에 크게 신경 쓰지 않던 OT 등 산업분야가 최근 랜섬웨어 등 사이버공격으로 큰 피해를 입는 사건이 많이 발생하고 있어 CDR 시장의 성장가능성은 더 밝은 편이다. 이와 관련해 김종광 인섹시큐리티 대표는 “초연결 시대를 맞아 산업보안의 중요성이 높아지고 있는 상황에서도, 아직도 우리나라는 스카다(SCADA)와 제조운영(OT) 시설망에는 이 같은 보안 조치가 적용돼 있지 않다. IT에서 OT로 들어가는 출입단에 CDR과 멀티 안티바이러스를 적용하면, 국가기반시설을 보호하고 재난을 막을 수 있다”고 강조했다.
CDR 시장을 리딩하는 4개 브랜드
그렇다면 현재 시장에는 어떤 제품들이 나와 있을까? CDR 시장은 크게 글로벌 브랜드 2개(옵스왓, 보티로)와 국내 브랜드 2개(소프트캠프, 지란지교시큐리티)가 리딩하고 있다.
▲CDR 시장을 리딩하는 4개 브랜드[자료=보안뉴스]
옵스왓 Data Sanitization CDR_ 인섹시큐리티
옵스왓의 Data Sanitization CDR이 적용된 Metadefender Core는 글로벌 멀티 안티바이러스 스캔 엔진으로 랜섬웨어, APT 공격, 악성코드 위협 탐지 및 차단을 수행한다. 30개 이상의 안티바이러스를 물리적으로 통합한 멀티 엔진으로 스캔을 진행하며, 파일 살균·변환 기능으로 위협 요소를 제거해 악성코드를 사전에 차단할 수 있다. 또한, 1만 5,000개 이상 애플리케이션에 대한 취약점 진단을 수행한다.
보티로(VOTIRO)_ 소프트와이드시큐리티
보티로는 특허받은 CDR 기술을 사용해 사용자를 보호하는 파일정화 솔루션으로 보티로의 Disarmer 서버 내 CDR 기술을 통해 단계별로 파일을 정화해 안전한 파일만을 제공하는 솔루션이다. 130개가 넘는 파일 형식을 지원하며, 원본 파일 콘텐츠와 기능을 보존하는 기술력이 탁월하다. 국내외 업체 중 이러한 CDR 기술을 가장 오랫동안(2010~) 분석 및 기술 개발을 해오고 있으며, 이러한 전문적인 업력을 기반으로 미국, 일본, 이스라엘 등을 중심으로 전 세계 500개 이상의 기업이 보티로를 통해 내부로 유입되는 파일을 정화하고 있다.
새니톡스(SaniTox)_ 지란지교시큐리티
새니톡스는 문서 기반의 표적형 악성코드(Malicious Document)에 대해 지란지교시큐리티가 자체 개발한 CDR 기술을 바탕으로 파일 내 실행가능한 다양한 액티브 콘텐츠(Macro, JavaScript 등)를 원천 제거하고 안전한 파일로 재조합해 제공하는 콘텐츠 악성코드 무해화 솔루션이다. 새니톡스 어플라이언스는 별도의 소프트웨어 설치나 설정이 필요 없는 일체형 장비로 쉽게 도입이 가능하며, Content Prevention Engine(Anti-Virus + CDR) 구성으로 알려진 위협에 대한 1차 필터링과 문서 기반의 표적형 악성코드에 대한 2차 예방적 보안(무해 화)을 통해 기업을 노린 전방위 위협에 대응이 가능하다. 자사 문서중앙화 솔루션인 다큐원(DocuONE)에 CDR을 탑재한 업그레이드 버전도 출시했다.
실덱스(SHIELDEX)_ 소프트캠프
실덱스는 20년 가까이 문서보안에 집중해 온 소프트캠프의 경쟁력 높은 CDR 솔루션이다. 문서구조 분석방식을 통해 외부에서 유입되는 모든 문서파일을 무해화한 후 안전성이 확보된 콘텐츠로만 재구성해 내부로 들여보낸다. 2013년 출시 이후 지속적으로 CDR 기술을 연구·개발해 왔으며, 공공·금융 등 다수의 레퍼런스를 통해 CDR 처리 결과물에 대한 완성도를 높였다. 현재 일본에서 이스라엘 제품과 경쟁하며 우위를 선점할 정도로 기술력과 품질을 인정받고 있다.
CDR 시장의 최강자, 옵스왓 ‘메타디펜더(MetaDefender) Deep CDR’ 집중분석
30개 이상 A/V로 악성코드 탐지 사각지대 최소화! 파일 무해화 및 살균은 기본!
▲옵스왓 ‘메타디펜더(MetaDefender) Deep CDR’[이미지=인섹시큐리티]
디지털포렌식 및 네트워크 보안 전문 업체인 인섹시큐리티는 글로벌 악성코드 탐지 전문 업체인 ‘옵스왓(OPSWAT)’의 악성코드 사전탐지 솔루션인 ‘메타디펜더(MetaDefender) Deep CDR’을 국내에 공급하고 있다. 메타디펜더(MetaDefender)는 옵스왓의 대표 제품으로, 파일 및 생산성 관련 문서에 담겨 있는 알려지거나 알려지지 않은 멀웨어를 탐지하고 제거함으로써 파일 기반 지능형 위협 방지(ATP)를 위한 플랫폼을 제공한다.
특히, 메타디펜더 플랫폼에 탑재된 Deep CDR(데이터 살균 및 파일 무해화) 엔진을 통해 보다 빠르게 문서파일을 스캔하여 파일에 포함된 악성코드 및 잠재적 위협을 탐지 및 차단할 수 있다. 최근 금융사와 IT 서비스 기업에서 엔드포인트 탐지·대응(EDR)을 넘어 CDR 도입을 늘리는 추세다. EDR 솔루션이 신속 대응을 위한 사후조치라면, CDR 솔루션은 잠재 위협을 미리 제거하는 사전조치다. EDR로도 탐지되지 않는 보안 위협은 CDR로 대응력을 강화하는 방식이다. 5년 전부터 이스라엘, 호주, 일본 정부 등에서는 기반 시설에 대해 CDR 도입을 의무화하고 있다.
옵스왓 Deep CDR 기술, 모든 파일들이 위협을 포함하고 있다는 가정하에 파일의 잠재적 위협을 모두 제거한 후 원래 파일로 재조합
현재 악성코드는 전 세계적으로 10억 개 이상이다. 97%는 기존 보안 솔루션으로 탐지가 가능하지만, 2~3%는 신·변종 제로데이 공격으로 탐지가 어렵다. 악성코드는 실행형 파일과 비실행형 파일로 나눌 수 있는데, 옵스왓 메타디펜더 CDR은 두 가지 형태를 모두 검사한다.
옵스왓 메타디펜더 Deep CDR은 멀티 안티바이러스 스캔엔진으로 악성코드 공격을 신속하게 탐지하고 문서·이미지·압축파일 등을 살균 및 무해화하는 솔루션이다. 문서 등 파일 내에 존재하는 악성코드, 익스플로잇, 악성 스크립트 등 잠재적으로 위협이 될 수 있는 이상 코드가 발견되면 악성코드인지 정상 코드인지 상관없이 모두 제거하며, 원천적으로 악성 콘텐츠가 실행되지 않게 만든다. 위험도가 높은 파일에 여러 방식으로 살균 및 무해화 과정을 거친다. 옵스왓의 차별화된 Deep CDR 기술은 모든 파일들이 잠재적 위협을 포함하고 있다는 가정하에 파일의 잠재적 위협 요소, 불확실한 또는 불안전한 부분을 모두 제거한 후 원래의 파일로 안전 하게 재조합을 시킨다.
파일의 안정성을 보장하여, 업무 생산성을 높일 수 있는 악성코드 사전 탐지 솔루션
특히 옵스왓 메타디펜더 CDR은 위험한 코드를 제거하면서도 문서에는 아무 영향도 주지 않아 타사 솔루션과 차별화된다. 실제로 옵스왓 메타디펜더 CDR은 파워포인트 애니메이션 및 액셀 매크로와 같은 생산성 파일 기능을 손상시키지 않아 사용자는 데이터 위생 처리 과정이 진행되었음을 인지하지 못해, 감염 위협에 노출되지 않고 필수적인 파일을 지속적으로 사용할 수 있어, 업무 생산성을 유지할 수 있다. 이러한 메타디펜더 CDR은 올해 국내 GS 인증을 획득하면서 공공시장 공략에도 나서고 있으며, 국내 다수의 금융 및 인터넷/모바일 서비스 기업 등에 도입되어 있다.
30개 이상의 멀티 안티바이러스 스캔으로 위협을 신속하게 탐지하고, 파일 살균 및 무해화
메타디펜더 CDR의 처리 절차는 기존의 보안업체들이 1~3개의 안티 바이러스 엔진으로 파일의 감염 여부를 검사하는 것과 비교하여, 멀티 안티바이러스 스캔 엔진을 30개 이상 통합해 검사하고 4,500개가 넘는 파일 유형을 식별하여 악성여부를 진단함으로써 향상된 탐지율을 제공하여 악성코드 탐지 사각지대를 최소화시킨다. 이때 파일은 개별 구성요소로 분리되고, 이후 위협 요소들이 제거·살균되며 메타 데이터와 모든 파일 특성이 빠르고 안전한 프로세스로 파일이 재구성된다. 살균된 새 파일은 다시 컴파일되고 이름이 변경해 전달되고 파일 구조 무결성이 유지되므로 사용자는 유용성을 잃지 않고 안전하게 파일을 사용할 수 있다.
[원병철 기자(boanone@boannews.com)]
국내외 CDR(콘텐츠 악성코드 무해화) 솔루션 시장현황 분석
대표적인 CDR 솔루션, 옵스왓 ‘메타디펜더(MetaDefender) Deep CDR’ 리뷰
[보안뉴스 원병철 기자] 최근 사이버공격의 일반적인 방법은 이메일에 첨부파일이나 URL을 삽입한 후, 이를 클릭해 악성코드를 실행하도록 하는 방식이다. 언뜻 생각하면 별 것 아닌 것 같지만, 기관이나 단체를 사칭하는 것부터 이력서나 발주서 등을 사칭해 무의식중에 열어보도록 하는 기상천외한 방법을 사용하는 탓에 생각보다 많은 사람들이 이러한 공격에 당하기 일쑤다. 특히, 이렇게 첨부파일이나 URL을 통해서 악성코드를 실행할 경우 기존 보안 솔루션으로 막지 못하는 경우도 있기 때문에, 보안담당자 입장에서는 아주 답답한 공격이기도 하다. 다행히도 이러한 상황에 딱 맞는 솔루션이 하나 존재한다. 바로 CDR(콘텐츠 무해화 솔루션, Content Disarm&Reconstruction)이다.
[자료=보안뉴스]
2000년 초반, 안티 바이러스 기업들이 파일에서 매크로를 제거하는 시도를 했는데, 업계에서는 이 시도가 CDR의 시작이라고 보고 있다. 2004년 북대서양조약기구(NATO)가 본격적인 연구를 시작했고, 2010년대에 이르면서 보안기업들이 CDR 연구에 돌입한 것으로 알려졌다. 초기에는 CDR이란 용어가 아닌 기업마다 ‘클린 콘텐츠(Clean Content)’나 ‘데이터 살균(Data Sanitizer)’, ‘위협 추출(Threat Extraction)’ 등 다양한 용어를 사용했다. 이후 2016년 가트너가 자사 보고서에서 첨부파일 형태의 공격에 효과적인 대응 솔루션으로 CDR을 지목하면서 본격적으로 시장이 형성되기 시작했다. 현재 CDR 분야의 대표기업은 미국의 옵스왓(OPSWAT, 한국총판 인섹시큐리티)과 이스라엘의 보티로(VOTIRO, 한국총판 소프트와이드시큐리티), 한국의 소프트캠프와 지란지교시큐리티 등이며, 일본을 비롯해 이스라엘과 미국, 그리고 한국에서 이제 막 사업이 활성화되고 있다.
CDR의 출발점인 해외시장, 이스라엘·일본·미국 중심으로 시장 형성
현재 CDR이 활발하게 사용되는 국가는 이스라엘과 일본, 미국으로, 특히 일본의 경우 정부에서 관련법을 수정하며 파일 무해화를 강제화해 CDR 시장이 급속하게 성장하고 있다. 2015년 발생한 일본 연기금 기구의 ‘개인정보 125만 건 유출사건’을 계기로 총무성에서 지자체의 정보보안 강화 대책을 위해 망분리와 무해화를 지침화하고 막대한 예산을 편성했기 때문이다. 또한, 2017년 문부과학성에서도 교육정보 보안정책지침에서 무해화를 의무화했다.
이 때문에 일본의 CDR 시장은 급속한 성장을 이루고 있다. 일본 리서치 기업 ITR에 따르면 일본 CDR 시장은 2018년 기준 약 16억엔(약 170억원)으로 추정되고 있다. 특히, 우리나라가 망분리 후 파일을 이동할 때 망연계 솔루션을 이용해 보안을 강화했다면, 일본은 파일 자체에 문제가 없는지 확인하는 CDR을 선택했기 때문에 일본에서 CDR이 활발하다고 업계에서는 설명하고 있다.
유럽과 미국은 일본만큼은 아니지만 CDR의 잠재력을 높이 보고 정부와 기관에서 먼저 움직이고 있다. NATO는 CDR 기술을 일찌감치 연구한 것으로 알려 졌으며, 미국 국토안보부도 지난 2017년 카네기멜론 대학과 함께 CDR 솔루션 테스트를 진행하는 등 미국과 유럽에 서도 CDR에 대한 관심이 높은 편이다. 특히, 미국 국토안보부는 기업과 시민들의 보안에 도움이 될 솔루션이나 기술을 연구하거나 BMT 등을 통해 성능을 평가한 뒤 공개하는 일을 자주 하는데, 2011년 11월 발표한 ‘안전한 사이버 미래를 위한 청사진(Blueprint for a Secure Cyber Future)’ 보고서를 통해 시큐어코딩을 강화하도록 권고한 것이 그 예라고 업계에서 설명하고 있다. 이는 국토안보부가 CDR을 주목하고 있다는 것만으로도 다음 세대 정보보안 솔루션으로 성장할 수 있다는 것을 의미한다.
리서치 기업인 ‘MarketandMarkets’는 2019년 CDR 시장전망 보고서를 통해 “CDR은 13.5%의 연평균 성장률(CAGR)을 보일 것이며, 2018년 1억 5,800만달러(약 1,836억원)에서 2023 년 2월 9,800만달러(약 3,463억원)로 성장할 것”이라고 밝힌 바 있다.
한국 CDR 시장, 공공과 금융권 중심으로 니즈 급증
한국은 이제 막 CDR 시장이 형성되고 있으며, 시장 규모 역시 아직은 집계할 만큼은 아닌 것으로 알려졌다. 그럼에도 초기 CDR에 대한 이해 부족은 어느 정도 해소된 것으로 보인다. <보안뉴스>가 2018년 CDR 시장조사를 했을 때 당시 관련기업들은 “영업할 때 가장 어려운 점이 고객들에게 CDR을 이해시키는 것”이라고 말했다. 고객들이 CDR을 잘 모르기 때문에 시장이 형성되지 않고, 시장이 형성되지 않기 때문에 후발주자들이 뛰어들기를 주저하고 있다는 설명이었다. 게다가 후발주자들이 시장에 진입하기엔 ‘진입장벽’ 때문에 쉽지 않은 상황이었다는 것.
하지만 2019년부터 고객들의 이해도가 증가하면서 시장이 빠르게 변화하고 있다. 금융권과 공공분야를 중심으로 CDR에 대한 니즈가 급증하고 있다고 업계에서는 설명하고 있다. 허효승 소프트와이드시큐리티 이사는 “일본 국무성에서 외부망에서 내부망 구간에 유입되는 파일에 대한 정화를 해야 한다는 컴플라이언스가 있어 이를 바탕으로 국내에도 마케팅을 진행했다”면서, “현재는 많은 고객사에서 이메일 및 망분리 구간에 대해서 CDR 기술을 검토 중이며, 요구사항이 계속적으로 증가하고 있다”고 말했다. “2019년 한해 동안 금융권에서 이러한 CDR 기술에 대한 성능을 검증하기 위한 움직임도 있었으며, 실제 PoC 등의 단계까지 진행돼 도입 검토까지 하고 있습니다.”
이상준 지란지교시큐리티 이사도 “최근 공공분야에서 게시판 보안강화 가이드라인과 Plug-in 제거 가이드라인 등이 발표되면서 외부에서 내부 또는 내부에서 외부로 유통되는 문서 및 서비스되는 파일에 대한 무해화 처리가 이슈화되면서 관심이 높아지고 있다”고 설명했다.
또한, 금융에서도 외부에서 유입되는 문서 및 청구서류를 통한 악성코드가 다수 발견되고, 이들 공격 대부분이 기존 보안 솔루션을 회피해 공격하는 사례가 많아지면서 문서에 포함돼 있는 악성코드(제로데이 포함)에 대응하고자 CDR 솔루션 도입을 검토하고 있다고 덧붙였다.
CDR, 파일복원과 분석정보 표출 등에 초점 맞춰 진화중
그렇다면 현재 CDR의 최신 기술동향은 어떨까? 사실 앞서도 설명했지만 CDR은 쉬운 기술이 아니다. 일각에서는 CDR 기술 자체가 진입장벽으로 존재한다고 할 정도로 어렵다고 한다. CDR은 파일을 분해해 악성파일 혹은 불필요한 파일을 제거하고 콘텐츠는 원본과 동일하게 새로운 파일을 만드는 솔루션이다. 즉, 한글, 워드, 액셀, 이미지(JPG 등), PDF, PPT, CAD 등 거의 모든 콘텐츠를 분석하고 재구성할 정도로 ‘알아야’ 하는데, 이게 쉽지 않다. 게다가 이 작업들이 시간이 오래 걸려서도 안 되고, 무엇보다 ‘원본’과 완벽하게 ‘동일’해야 한다. 예를 들면, 액셀을 분해해서 재구성할 경우 액셀의 수식이 풀어지는 경우가 있는데, 이러한 문제없이 100% 원본과 동일한 파일을 만드는 게 중요한 기술이라는 것이다.
특히, 우리나라의 한글 프로그램처럼 국가나 기업이 별도로 원하는 포맷이 있기 때문에 기술적으로 쉽지 않다고 업계에서는 설명한다. 옵스왓이나 보티로 등 외국계 제품 역시 우리나라에 진출하면서 이러한 점 때문에 별도의 작업을 통해 한글을 추가한 것으로 알려졌다.
또한, 바이러스 분석처럼 콘텐츠의 구조를 분석해야 하기 때문에 꼼꼼해야 하며, 콘텐츠 프로그램의 업데이트가 있으면 CDR도 업데이트를 해야 하기 때문에 안티 바이러스처럼 업데이트도 지속적으로 해야 한다는 어려움을 토로하기도 한다. 이러한 점 때문에 CDR의 공급은 단품 판매가 아닌 라이선스 방식으로 운영되고 있다. 게다가 별도 제품으로 만들어 판매되기 보다는 메일이나 안티 바이러스 제품과 같은 솔루션과의 공동 작업을 통해 제공되는 경우가 많다.
이 때문에 시장 초기에는 CDR의 D, 즉 해체(Disarm)에 초점이 맞춰졌다. 파일의 ‘안전성’에 초점을 맞췄다는 얘기다. 이로 인해 일각에서는 안전을 위해 파일이 원래 갖고 있던 기능이 손상돼도 어쩔 수 없다고 말한다. 엑셀의 복잡한 수식이 담겨 있거나 문서 내에 또 다른 파일이 담겨 있는 경우 완벽하게 복원이 안 될 수도 있고, 안전을 위해서 해체 후 삭제할 수도 있다는 의미다. 이에 CDR은 해체 전의 원본 파일을 별도로 저장하기도 한다.
하지만 현재는 CDR의 R, 즉 ‘복원(Reconstruction)’에 더 초점을 맞춰 발전하고 있다. 업계의 전문가들은 “일본의 경우 악성코드 제거에 좀 더 무게중심을 두고 무해화 솔루션을 다루는데 반해 국내의 경우에는 업무의 연속성을 유지하고 사용자의 클레임을 적게 받을 수 있는 솔루션을 제공받기 원하는 고객사가 많다”고 설명한다. 아울러 최근에는 관리 및 분석 기능에 대한 요구도 늘고 있다. 예를 들면 상세한 분석 정보, 위험도 분석, 연계 편의성, 확장성 등을 요구한다는 것이다. 이는 CDR의 필요성은 알지만 이메일 보안 솔루션이나 망분리 솔루션 등과 겹친다고 생각하는 C레벨의 관리자를 이해시키기 위해서라고 전문가들은 설명한다.
지금까지 콘텐츠 악성코드 무해화 기술, CDR에 대해 알아봤다. CDR이 국내 시장에 소개된 시간은 대략 5년 남짓으로 이제 막 시장이 형성되고 있지만, 일본 및 미국 정부와 기관이 주목하면서 그 가능성을 인정받았다. 특히, CDR은 기존 엔드포인트 보안 제품과 접목하면 성능이 배가될 수 있기 때문에 제품과 제품, 기업과 기업의 콜라보(협업)가 더욱 기대되고 있다.
아울러 보안에 크게 신경 쓰지 않던 OT 등 산업분야가 최근 랜섬웨어 등 사이버공격으로 큰 피해를 입는 사건이 많이 발생하고 있어 CDR 시장의 성장가능성은 더 밝은 편이다. 이와 관련해 김종광 인섹시큐리티 대표는 “초연결 시대를 맞아 산업보안의 중요성이 높아지고 있는 상황에서도, 아직도 우리나라는 스카다(SCADA)와 제조운영(OT) 시설망에는 이 같은 보안 조치가 적용돼 있지 않다. IT에서 OT로 들어가는 출입단에 CDR과 멀티 안티바이러스를 적용하면, 국가기반시설을 보호하고 재난을 막을 수 있다”고 강조했다.
CDR 시장을 리딩하는 4개 브랜드
그렇다면 현재 시장에는 어떤 제품들이 나와 있을까? CDR 시장은 크게 글로벌 브랜드 2개(옵스왓, 보티로)와 국내 브랜드 2개(소프트캠프, 지란지교시큐리티)가 리딩하고 있다.
▲CDR 시장을 리딩하는 4개 브랜드[자료=보안뉴스]
옵스왓 Data Sanitization CDR_ 인섹시큐리티
옵스왓의 Data Sanitization CDR이 적용된 Metadefender Core는 글로벌 멀티 안티바이러스 스캔 엔진으로 랜섬웨어, APT 공격, 악성코드 위협 탐지 및 차단을 수행한다. 30개 이상의 안티바이러스를 물리적으로 통합한 멀티 엔진으로 스캔을 진행하며, 파일 살균·변환 기능으로 위협 요소를 제거해 악성코드를 사전에 차단할 수 있다. 또한, 1만 5,000개 이상 애플리케이션에 대한 취약점 진단을 수행한다.
보티로(VOTIRO)_ 소프트와이드시큐리티
보티로는 특허받은 CDR 기술을 사용해 사용자를 보호하는 파일정화 솔루션으로 보티로의 Disarmer 서버 내 CDR 기술을 통해 단계별로 파일을 정화해 안전한 파일만을 제공하는 솔루션이다. 130개가 넘는 파일 형식을 지원하며, 원본 파일 콘텐츠와 기능을 보존하는 기술력이 탁월하다. 국내외 업체 중 이러한 CDR 기술을 가장 오랫동안(2010~) 분석 및 기술 개발을 해오고 있으며, 이러한 전문적인 업력을 기반으로 미국, 일본, 이스라엘 등을 중심으로 전 세계 500개 이상의 기업이 보티로를 통해 내부로 유입되는 파일을 정화하고 있다.
새니톡스(SaniTox)_ 지란지교시큐리티
새니톡스는 문서 기반의 표적형 악성코드(Malicious Document)에 대해 지란지교시큐리티가 자체 개발한 CDR 기술을 바탕으로 파일 내 실행가능한 다양한 액티브 콘텐츠(Macro, JavaScript 등)를 원천 제거하고 안전한 파일로 재조합해 제공하는 콘텐츠 악성코드 무해화 솔루션이다. 새니톡스 어플라이언스는 별도의 소프트웨어 설치나 설정이 필요 없는 일체형 장비로 쉽게 도입이 가능하며, Content Prevention Engine(Anti-Virus + CDR) 구성으로 알려진 위협에 대한 1차 필터링과 문서 기반의 표적형 악성코드에 대한 2차 예방적 보안(무해 화)을 통해 기업을 노린 전방위 위협에 대응이 가능하다. 자사 문서중앙화 솔루션인 다큐원(DocuONE)에 CDR을 탑재한 업그레이드 버전도 출시했다.
실덱스(SHIELDEX)_ 소프트캠프
실덱스는 20년 가까이 문서보안에 집중해 온 소프트캠프의 경쟁력 높은 CDR 솔루션이다. 문서구조 분석방식을 통해 외부에서 유입되는 모든 문서파일을 무해화한 후 안전성이 확보된 콘텐츠로만 재구성해 내부로 들여보낸다. 2013년 출시 이후 지속적으로 CDR 기술을 연구·개발해 왔으며, 공공·금융 등 다수의 레퍼런스를 통해 CDR 처리 결과물에 대한 완성도를 높였다. 현재 일본에서 이스라엘 제품과 경쟁하며 우위를 선점할 정도로 기술력과 품질을 인정받고 있다.
CDR 시장의 최강자, 옵스왓 ‘메타디펜더(MetaDefender) Deep CDR’ 집중분석
30개 이상 A/V로 악성코드 탐지 사각지대 최소화! 파일 무해화 및 살균은 기본!
▲옵스왓 ‘메타디펜더(MetaDefender) Deep CDR’[이미지=인섹시큐리티]
디지털포렌식 및 네트워크 보안 전문 업체인 인섹시큐리티는 글로벌 악성코드 탐지 전문 업체인 ‘옵스왓(OPSWAT)’의 악성코드 사전탐지 솔루션인 ‘메타디펜더(MetaDefender) Deep CDR’을 국내에 공급하고 있다. 메타디펜더(MetaDefender)는 옵스왓의 대표 제품으로, 파일 및 생산성 관련 문서에 담겨 있는 알려지거나 알려지지 않은 멀웨어를 탐지하고 제거함으로써 파일 기반 지능형 위협 방지(ATP)를 위한 플랫폼을 제공한다.
특히, 메타디펜더 플랫폼에 탑재된 Deep CDR(데이터 살균 및 파일 무해화) 엔진을 통해 보다 빠르게 문서파일을 스캔하여 파일에 포함된 악성코드 및 잠재적 위협을 탐지 및 차단할 수 있다. 최근 금융사와 IT 서비스 기업에서 엔드포인트 탐지·대응(EDR)을 넘어 CDR 도입을 늘리는 추세다. EDR 솔루션이 신속 대응을 위한 사후조치라면, CDR 솔루션은 잠재 위협을 미리 제거하는 사전조치다. EDR로도 탐지되지 않는 보안 위협은 CDR로 대응력을 강화하는 방식이다. 5년 전부터 이스라엘, 호주, 일본 정부 등에서는 기반 시설에 대해 CDR 도입을 의무화하고 있다.
옵스왓 Deep CDR 기술, 모든 파일들이 위협을 포함하고 있다는 가정하에 파일의 잠재적 위협을 모두 제거한 후 원래 파일로 재조합
현재 악성코드는 전 세계적으로 10억 개 이상이다. 97%는 기존 보안 솔루션으로 탐지가 가능하지만, 2~3%는 신·변종 제로데이 공격으로 탐지가 어렵다. 악성코드는 실행형 파일과 비실행형 파일로 나눌 수 있는데, 옵스왓 메타디펜더 CDR은 두 가지 형태를 모두 검사한다.
옵스왓 메타디펜더 Deep CDR은 멀티 안티바이러스 스캔엔진으로 악성코드 공격을 신속하게 탐지하고 문서·이미지·압축파일 등을 살균 및 무해화하는 솔루션이다. 문서 등 파일 내에 존재하는 악성코드, 익스플로잇, 악성 스크립트 등 잠재적으로 위협이 될 수 있는 이상 코드가 발견되면 악성코드인지 정상 코드인지 상관없이 모두 제거하며, 원천적으로 악성 콘텐츠가 실행되지 않게 만든다. 위험도가 높은 파일에 여러 방식으로 살균 및 무해화 과정을 거친다. 옵스왓의 차별화된 Deep CDR 기술은 모든 파일들이 잠재적 위협을 포함하고 있다는 가정하에 파일의 잠재적 위협 요소, 불확실한 또는 불안전한 부분을 모두 제거한 후 원래의 파일로 안전 하게 재조합을 시킨다.
파일의 안정성을 보장하여, 업무 생산성을 높일 수 있는 악성코드 사전 탐지 솔루션
특히 옵스왓 메타디펜더 CDR은 위험한 코드를 제거하면서도 문서에는 아무 영향도 주지 않아 타사 솔루션과 차별화된다. 실제로 옵스왓 메타디펜더 CDR은 파워포인트 애니메이션 및 액셀 매크로와 같은 생산성 파일 기능을 손상시키지 않아 사용자는 데이터 위생 처리 과정이 진행되었음을 인지하지 못해, 감염 위협에 노출되지 않고 필수적인 파일을 지속적으로 사용할 수 있어, 업무 생산성을 유지할 수 있다. 이러한 메타디펜더 CDR은 올해 국내 GS 인증을 획득하면서 공공시장 공략에도 나서고 있으며, 국내 다수의 금융 및 인터넷/모바일 서비스 기업 등에 도입되어 있다.
30개 이상의 멀티 안티바이러스 스캔으로 위협을 신속하게 탐지하고, 파일 살균 및 무해화
메타디펜더 CDR의 처리 절차는 기존의 보안업체들이 1~3개의 안티 바이러스 엔진으로 파일의 감염 여부를 검사하는 것과 비교하여, 멀티 안티바이러스 스캔 엔진을 30개 이상 통합해 검사하고 4,500개가 넘는 파일 유형을 식별하여 악성여부를 진단함으로써 향상된 탐지율을 제공하여 악성코드 탐지 사각지대를 최소화시킨다. 이때 파일은 개별 구성요소로 분리되고, 이후 위협 요소들이 제거·살균되며 메타 데이터와 모든 파일 특성이 빠르고 안전한 프로세스로 파일이 재구성된다. 살균된 새 파일은 다시 컴파일되고 이름이 변경해 전달되고 파일 구조 무결성이 유지되므로 사용자는 유용성을 잃지 않고 안전하게 파일을 사용할 수 있다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
