서론
코로나19 시대에 들어오면서 우리는 지금까지 경험해보지 못한 시대를 살아가고 있다.
대표적인 것이 바로 시공간에 얽매이지 않는 사무환경일 것이다.
아침에 일어나서 복잡한 출근 전쟁을 겪지 않고 바로 가정에서 컴퓨터를 켜고 출근 체크만 하면 끝이다.
회의도 이제는 화상회의가 대세가 되어버렸다.
회의 참가자들이 모두 오프라인이 아닌 온라인 공간에 모여 회의 주선자를 중심으로 자신들의 의견을 나누고 회의를 종료한다.
이후 회의 내용은 모두 녹화되어 회의에 참석하지 못한 사람들의 열람도 가능하다.
이런 풍경은 회사뿐만 아니라 학교 교육환경에도 적용되었으며 온라인 수업은 더 이상하지 어색하지 않게 되었다.
이런 변화 속에서 IT 관리자는 어떨까? 사실 IT 관리자는 코로나19로 인해 오히려 힘든 환경에 직면하게 되었다.
그 이유는 과거에는 기업 내 IT 기기만 관리하면 되었지만 이젠 각 사용자 가정에서 사용하는 IT 기기까지도 관리(특히 보안)에 신경을 써야 하는 입장이 되었다.
대다수 사용자들은 가정 내 IT 기기에 대해 보안에 그렇게 신경 쓰지 않는다.
하지만 보안에 취약한 IT기기를 통해 기업내부 망에 접속해서 업무를 해야 하는 상황을 고려해보면 IT 관리자 입장에서는 기업 내 IT 기기뿐만 아니라 가정 내 IT 기기까지 보안에 신경을 써야 한다.
기업의 보안과 직접 연관되어 있으면서도 IT 관리자 입장에서는 볼 수도 없고 만질 수도 없는 흩어져 있는 사용자 IT 기기들의 보안을 쉽게 관리할 수 있는 방법은 없을까?
CDR(Contents Disarm & Reconstruction) 기술의 필요성
해커는 기업의 정보를 탈취하기 위해 다양한 공격을 시도한다.
대부분 해커는 네트워크 취약점을 이용하여 공격하는 경우 기업의 방화벽 등과 같은 보안 제품에 의해 공격의 실마리를 찾지 못해 다른 공격 방법을 강구한다.
해커가 찾아낸 다른 공격법 중 제일 쉬운 것은 첨부 파일이 포함된 이메일을 발송하는 것이다.
해커는 이메일 주소만 안다면 악성코드를 첨부해서 이메일 보내기 버튼만 누르면 된다.
MS-ISAC 2018년 한국인터넷진흥원(KISA)에 따르면 “표적 공격(APT) 중 91% 이상이 이메일에서 시작 되고, 이메일의 94%가 첨부 파일을 가지고 있다”고 밝혔다.
하지만 대다수 이메일 보안 제품도 실행파일 확장자(*.exe)로 파일이 첨부되어 있다면 정상 파일이라 하더라도 해당 이메일을 차단한다.
결국 해커는 실행 파일이 아닌 문서 또는 이미지 파일을 첨부 파일로 하는 이메일 공격을 시도하기 시작했다.
실행 파일과는 달리 문서 파일이 첨부된 이메일을 무조건 차단하는 것은 무리가 있다.
이는 대부분의 기업에서 주고받는 메일 중 상당수가 문서 파일이기 때문이다.
이를 차단하게 되면 업무의 혼선만 가중될 때문이다.
결국 이메일 보안 솔루션은 첨부된 문서 파일에 악성코드가 존재하는지 백신 엔진을 사용하여 검사하게 되지만 사실 백신은 사후 대응 솔루션으로 새롭게 등장한 악성코드를 사전에 차단하는 것은 불가능하다.
즉, 해커는 문서 파일에 새로운 유형의 악성코드를 첨부하여 이메일을 통해 보내면 사용자는 기업 혹은 가정에서 첨부 파일을 열게 된다.
기업으로 전송된 이메일은 이메일 보안솔루션이라도 거치지만 개인 이메일로 전송된 이메일은 아무런 보안솔루션을 통하지 않고 문서 파일을 열게 된다
(개인 PC에 백신이라도 설치되어 있다면 그나마 알려진 악성코드는 탐지할 수 있다).
결국 이메일을 통해 유입된 문서 파일에 알려지지 않은 악성코드가 포함되어 있더라도 이를 처리하고 안심하고 열어볼 수 있도록 처리하는
솔루션이 필요한데 이것이 바로 CDR(Contents Disarm & Reconstruction) 기술이다.
CDR 기술의 핵심
문서 파일 유형의 악성코드는 대부분 본문과 무관하게 자바스크립트 또는 매크로 등을 포함하고 있다.
문서 파일을 열게 되면 자바스크립트 또는 매크로가 자동으로 실행되어 인터넷을 통해 악성코드를 내려받아서 실행하기도 하고 컴퓨터에 존재하는 모든 파일을 암호화하기도 한다.
CDR은 콘텐츠를 분해하고 재조립한다는 의미가 있는 Contents Disarm and Reconstruction의 약어이다.
즉 문서를 분해하고 이 중에서 콘텐츠 즉 문서 본문과 무관한 부분인 자바스크립트 또는 매크로를 제거하고 새롭게 문서를 작성하는 기술을 의미한다.
▲CDR 처리 과정▲
해당 자바스크립트 또는 매크로가 제거되어도 실제 본문에는 영향이 없다.
오히려 시스템에 악영향을 줄 수 있는 부분이 모두 사라지고 순수한 콘텐츠 즉, 본문만 남기 때문에 CDR 처리된 문서 파일은 편집이 가능하다.
이미 글로벌 IT 자문기관 “가트너”에서는 2018년 “Advancing Your Anti-Phishing Program” 보고서에서 악성코드는 백신 및 샌드박스를 우회할 수 있기 때문에 CDR 기술을
기업에서 도입해 사용할 것을 권고하고 있다.
CDR 기술의 고도화
이미 CDR 기술은 2015년 OPSWAT에 의해 최초 소개되었으나 국내에 이 개념이 소개된 것은 얼마되지 않았다.
하지만 빠른 CDR 기술의 고도화가 진행되었으며 CDR로 인한 사용자의 불편함을 최소화하는 데까지 이르렀다고 할 수 있다.
대표적인 CDR 기술 고도화는 다음과 같다.
만약 여러분이 기업 IT 관리자라면 CDR 기술에 이런 고도화까지 진행되었는지 살펴보는 것이 좋다.
비실행파일로 확대
악성 콘텐츠는 문서 파일만이 가지는 것이 아니기 때문에 비실행파일이 포함한 악성 콘텐츠까지 처할 수 있게 되었다.
즉, 이미지, 동영상 파일에도 CDR 기술이 적용되어야 한다.
다중 압축파일 처리
악성 콘텐츠가 포함된 문서 파일을 다중 압축파일로 묶어도 악성 콘텐츠를 제거하고 압축파일로 다시 묶어줘야 한다.
특히 국외 CDR 솔루션은 국내 압축파일인 알집을 지원하지 못하는 경우가 많다.
암호가 설정된 문서 파일 처리
기업 내에서 공용 암호를 사용하여 문서 파일에 암호를 설정하는 경우가 있다.
이는 문서 파일이 외부에 노출되더라도 기업 공용 암호를 모른다면 열람할 수 없다.
이는 CDR 기술도 마찬가지로 암호를 모른다면 문서 파일을 열어보고 악성 콘텐츠를 제거하는 것은 불가능하다.
하지만 기업 공용 암호를 설정할 수 있다면 암호를 해제해서 악성 콘텐츠를 제거하고 다시 암호 설정을 할 수 있어야 한다.
이는 앞서 CDR 기술 고도화에서 언급한 압축파일에도 그대로 적용된다.
결론
IT 환경이 변해감에 따라 그에 맞는 보안 솔루션은 분명 필요하다.
과거의 전통적인 보안 기술이 무용지물이 되었고 이를 우회할 수 있는 기술이 보고되었다면 이를 방어할 수 있는 솔루션 검토는 필수적이라 할 수 있다.
코로나19로 인해 우리의 IT 환경은 분명 변했고 이를 통해 보안의 허술한 부분이 존재함을 인식했으니 우리는 분명 새로운 대안을 찾아야 한다.
그것이 바로 우리가 CDR 기술에 주목해야 하는 이유이다.