문서중앙화 시스템 내 악성파일 원천 차단해 스마트 근무환경 조성
비실행형 파일에 특화된 보안 기술, 문서중앙화 서버 저장전 탐지·차단 등 보안 강화
[보안뉴스 김경애 기자] 최근 원격근무 등과 같이 비대면 근무환경의 취약점을 노린 공격이 지속적으로 포착돼 이용자들의 주의가 요구된다. 특히, 국가의 민감 데이터를 다루는 공공기관이 악성코드나 랜섬웨어에 감염될 경우 그 피해는 더욱 치명적일 수 있어 체계적인 보안 대책 마련이 필수적이다.
[이미지=시큐레터 제공]
시큐레터 공공사업팀 허윤석 팀장은 “최근 공공기관의 경우 원격근무와 화상회의 등 비대면 업무 문화 구축이 확대되고 있다”며 “반면, 최근 사이버 공격은 이러한 근무환경의 취약점을 노리고 업무 문서로 위장한 비실행 파일을 통한 공격으로 피해를 입히고 있다. 정부와 공공기관의 디지털 전환 및 하이브리드 업무환경 확대에 따라 이메일 및 문서를 공유하는 업무가 많아지고, 이를 통해 기밀 정보를 노리는 공격과 피해도 증가했다. 하지만 이에 대비하는 보안대책 마련은 미흡한 실정”이라고 지적했다.
그렇다면 문서를 통해 일어나는 보안 사고를 원천 차단하려면 어떻게 해야 할까? 해당 보안위협과 관련해 허 팀장은 “문서중앙화 환경을 갖추고 있더라도 문서 보안에 특화된 기술 ‘자동화된 리버스 엔지니어링’을 통해 문서가 중앙서버에 저장되기 전에 악성코드를 탐지·차단함으로써 해킹 피해 및 보안위협을 낮출 수 있다”고 제시했다.
E 공공기관, 보안솔루션 도입 기준 및 구축사례
E 공공기관의 경우 국가의 중요 자원을 관리하는 기관 중 한 곳으로 최적의 비대면 근무환경을 구축하고자 스마트 오피스 인프라 사업을 추진했다. 신규 전산 시스템을 구축해 문서중앙화 솔루션과 함께 고도화된 APT 공격을 방어할 수 있는 보안 솔루션을 도입하기 위해 다양한 보안 솔루션을 비교·분석하는 과정을 거쳤다.
특히, E 공공기관의 경우 국가의 중요 데이터를 관리하는 만큼 문서 보안이 매우 중요해 보안 솔루션 도입 기준 역시 보안성에 초점을 맞춰 6가지 사항을 고려했다.
▲시큐레터 MARS SLF 솔루션 적용 구성도[이미지=시큐레터]
1. 비실행형 파일에 특화된 보안 기술
첫째, 문서 파일(HWP, MS Office, PDF), 이미지 파일(bmp, jpg, png, gif), 압축 파일(zip, arj, rar, tga) 등 비실행형 파일에 특화된 보안 기술이다.
E 공공기관 담당자: 파일을 주고받는 모든 환경에서 비실행형 파일로 침입하는 콘텐츠 매개형 보안 위협은 탐지가 힘들 뿐만 아니라 의심하기 어렵습니다. 도입한 솔루션은 차세대 위협 탐지 및 차단 플랫폼인 ‘MARS’ 기반 파일 보안 솔루션으로 파일이 유입되는 모든 구간에서 보안위협을 탐지·차단할 수 있어 도입하게 됐습니다.
2. 문서중앙화 서버 저장전 탐지
둘째, 문서중앙화 서버에 저장되기 전 악성코드 탐지·차단이 가능한지 여부다.
E 공공기관 담당자: 기존에는 문서중앙화 솔루션을 통해 사용자 PC에 파일을 저장하지 않고 중앙 서버에 문서를 저장한다고 해도 문서의 악성 유무까지 정밀 분석할 수 없었습니다. 이러한 허점으로 인해 안전하게 문서를 관리할 수 없었습니다. 문서가 중앙 서버에 저장되기 전에 알려진 공격뿐만 아니라 알려지지 않은 고도화된 공격까지 방어해주는 보안 솔루션이 필요했습니다.
3. 기존 샌드박스 기반 보안 솔루션의 약점 극복
셋째, 기존에 구축된 샌드박스 기반 보안 솔루션의 취약점을 극복하는 일이었다.
E 공공기관 담당자: 샌드박스 기반 보안 솔루션은 알려진 시그니처 공격에 대해서만 방어할 뿐 가상환경 회피 또는 시간차 공격, 사용자 행위 조건 공격에 대해 탐지를 하지 못합니다. 하지만 도입한 솔루션은 ‘자동화된 리버스 엔지니어링’을 통해 사이버 공격을 판별합니다. 어셈블리 레벨에서 문서가 중앙서버에 저장되기 전에 정확하고 빠르게 악성코드를 탐지·차단해 보안위협을 낮출 수 있었습니다.
4. 빠른 진단 속도와 정확한 탐지
넷째, 빠른 진단 속도와 함께 높은 진단율을 보유하느냐의 여부였다.
E 공공기관 담당자: 기존 샌드박스 기반 솔루션의 경우 여러 형태의 환경에서 공격 행위를 분석하기 때문에 많은 진단시간을 소요합니다. 업무 시간이 오래 걸려 업무가 지연되기도 합니다. 하지만 도입한 솔루션의 경우 어셈블리 레벨에서 보안위협을 판별하기 때문에 타 보안 솔루션에 비해 진단 속도가 빠르고 높은 진단율을 보여 시간 지연 없이 업무를 할 수 있었습니다.
5. 용량 무제한 파일 검사
다섯째, 용량 제한 없는 파일 검사 진행이다.
E 공공기관 담당자: 문서 파일의 크기와 상관없이 파일의 악성 유무를 실시간으로 검사할 수 있다는 점이 인상적이었습니다. 용량이 큰 이미지 파일이나 동영상 파일도 쉽게 검사할 수 있다는 점에서 사용자 만족도가 높았습니다.
6. 직관적 보고서 제공
마지막으로 악성코드 탐지 후 관리자에게 즉시 알람을 울리고, 직관적 관리 보고서를 제공하는지 여부였다.
E 공공기관 담당자: 도입한 솔루션은 실시간 관리자 알람과 직관적 관리 보고서를 통해 관리자가 편리하게 보안위협을 관리할 수 있어 효율적입니다. 제공되는 보고서를 통해 기관 내 문서 보안위협 현황을 한 눈에 볼 수 있어 보안 취약점을 쉽게 수집하고 개선할 수 있었습니다.
[김경애 기자(boan3@boannews.com)]
비실행형 파일에 특화된 보안 기술, 문서중앙화 서버 저장전 탐지·차단 등 보안 강화
[보안뉴스 김경애 기자] 최근 원격근무 등과 같이 비대면 근무환경의 취약점을 노린 공격이 지속적으로 포착돼 이용자들의 주의가 요구된다. 특히, 국가의 민감 데이터를 다루는 공공기관이 악성코드나 랜섬웨어에 감염될 경우 그 피해는 더욱 치명적일 수 있어 체계적인 보안 대책 마련이 필수적이다.
[이미지=시큐레터 제공]
시큐레터 공공사업팀 허윤석 팀장은 “최근 공공기관의 경우 원격근무와 화상회의 등 비대면 업무 문화 구축이 확대되고 있다”며 “반면, 최근 사이버 공격은 이러한 근무환경의 취약점을 노리고 업무 문서로 위장한 비실행 파일을 통한 공격으로 피해를 입히고 있다. 정부와 공공기관의 디지털 전환 및 하이브리드 업무환경 확대에 따라 이메일 및 문서를 공유하는 업무가 많아지고, 이를 통해 기밀 정보를 노리는 공격과 피해도 증가했다. 하지만 이에 대비하는 보안대책 마련은 미흡한 실정”이라고 지적했다.
그렇다면 문서를 통해 일어나는 보안 사고를 원천 차단하려면 어떻게 해야 할까? 해당 보안위협과 관련해 허 팀장은 “문서중앙화 환경을 갖추고 있더라도 문서 보안에 특화된 기술 ‘자동화된 리버스 엔지니어링’을 통해 문서가 중앙서버에 저장되기 전에 악성코드를 탐지·차단함으로써 해킹 피해 및 보안위협을 낮출 수 있다”고 제시했다.
E 공공기관, 보안솔루션 도입 기준 및 구축사례
E 공공기관의 경우 국가의 중요 자원을 관리하는 기관 중 한 곳으로 최적의 비대면 근무환경을 구축하고자 스마트 오피스 인프라 사업을 추진했다. 신규 전산 시스템을 구축해 문서중앙화 솔루션과 함께 고도화된 APT 공격을 방어할 수 있는 보안 솔루션을 도입하기 위해 다양한 보안 솔루션을 비교·분석하는 과정을 거쳤다.
특히, E 공공기관의 경우 국가의 중요 데이터를 관리하는 만큼 문서 보안이 매우 중요해 보안 솔루션 도입 기준 역시 보안성에 초점을 맞춰 6가지 사항을 고려했다.
▲시큐레터 MARS SLF 솔루션 적용 구성도[이미지=시큐레터]
1. 비실행형 파일에 특화된 보안 기술
첫째, 문서 파일(HWP, MS Office, PDF), 이미지 파일(bmp, jpg, png, gif), 압축 파일(zip, arj, rar, tga) 등 비실행형 파일에 특화된 보안 기술이다.
E 공공기관 담당자: 파일을 주고받는 모든 환경에서 비실행형 파일로 침입하는 콘텐츠 매개형 보안 위협은 탐지가 힘들 뿐만 아니라 의심하기 어렵습니다. 도입한 솔루션은 차세대 위협 탐지 및 차단 플랫폼인 ‘MARS’ 기반 파일 보안 솔루션으로 파일이 유입되는 모든 구간에서 보안위협을 탐지·차단할 수 있어 도입하게 됐습니다.
2. 문서중앙화 서버 저장전 탐지
둘째, 문서중앙화 서버에 저장되기 전 악성코드 탐지·차단이 가능한지 여부다.
E 공공기관 담당자: 기존에는 문서중앙화 솔루션을 통해 사용자 PC에 파일을 저장하지 않고 중앙 서버에 문서를 저장한다고 해도 문서의 악성 유무까지 정밀 분석할 수 없었습니다. 이러한 허점으로 인해 안전하게 문서를 관리할 수 없었습니다. 문서가 중앙 서버에 저장되기 전에 알려진 공격뿐만 아니라 알려지지 않은 고도화된 공격까지 방어해주는 보안 솔루션이 필요했습니다.
3. 기존 샌드박스 기반 보안 솔루션의 약점 극복
셋째, 기존에 구축된 샌드박스 기반 보안 솔루션의 취약점을 극복하는 일이었다.
E 공공기관 담당자: 샌드박스 기반 보안 솔루션은 알려진 시그니처 공격에 대해서만 방어할 뿐 가상환경 회피 또는 시간차 공격, 사용자 행위 조건 공격에 대해 탐지를 하지 못합니다. 하지만 도입한 솔루션은 ‘자동화된 리버스 엔지니어링’을 통해 사이버 공격을 판별합니다. 어셈블리 레벨에서 문서가 중앙서버에 저장되기 전에 정확하고 빠르게 악성코드를 탐지·차단해 보안위협을 낮출 수 있었습니다.
4. 빠른 진단 속도와 정확한 탐지
넷째, 빠른 진단 속도와 함께 높은 진단율을 보유하느냐의 여부였다.
E 공공기관 담당자: 기존 샌드박스 기반 솔루션의 경우 여러 형태의 환경에서 공격 행위를 분석하기 때문에 많은 진단시간을 소요합니다. 업무 시간이 오래 걸려 업무가 지연되기도 합니다. 하지만 도입한 솔루션의 경우 어셈블리 레벨에서 보안위협을 판별하기 때문에 타 보안 솔루션에 비해 진단 속도가 빠르고 높은 진단율을 보여 시간 지연 없이 업무를 할 수 있었습니다.
5. 용량 무제한 파일 검사
다섯째, 용량 제한 없는 파일 검사 진행이다.
E 공공기관 담당자: 문서 파일의 크기와 상관없이 파일의 악성 유무를 실시간으로 검사할 수 있다는 점이 인상적이었습니다. 용량이 큰 이미지 파일이나 동영상 파일도 쉽게 검사할 수 있다는 점에서 사용자 만족도가 높았습니다.
6. 직관적 보고서 제공
마지막으로 악성코드 탐지 후 관리자에게 즉시 알람을 울리고, 직관적 관리 보고서를 제공하는지 여부였다.
E 공공기관 담당자: 도입한 솔루션은 실시간 관리자 알람과 직관적 관리 보고서를 통해 관리자가 편리하게 보안위협을 관리할 수 있어 효율적입니다. 제공되는 보고서를 통해 기관 내 문서 보안위협 현황을 한 눈에 볼 수 있어 보안 취약점을 쉽게 수집하고 개선할 수 있었습니다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
