2022-07-03 10:50 (일)
[G-PRIVACY 2022] 임차성 대표 “진화하는 악성코드·랜섬웨어 공격…시큐레터가 해결책 제시”(영상)
상태바
[G-PRIVACY 2022] 임차성 대표 “진화하는 악성코드·랜섬웨어 공격…시큐레터가 해결책 제시”(영상)
  • 길민권 기자
  • 승인 2022.04.04 07:50
이 기사를 공유합니다

“리버스 엔지니어링 악성코드 분석과 CDR 기능 접목해 더욱 강력한 보안 제공”
임차성 시큐레터 대표. G-PRIVACY 2022 강연
임차성 시큐레터 대표. G-PRIVACY 2022 강연

데일리시큐가 주최하고 개인정보보호위원회, 한국인터넷진흥원, 한국정보보호산업협회가 후원하는 G-PRIVACY 2022가 3월 29일 더케이호텔서울 가야금홀에서 공공, 금융, 기업 개인정보보호 및 정보보안 실무자 700여 명이 참석한 가운데 성황리에 개최됐다.

이 자리에서 시큐레터 임차성 대표는 ‘진화하는 사이버 공격, 비실행형 파일 위협에 집중하라’는 주제로 강연을 진행해 보안 실무자들의 큰 관심을 끌었다.

자동화된 리버스엔지니어링 기반 악성코드 탐지, 분석, 차단 솔루션 개발을 통해 차세대 APT 공격 방어 분야에서 기술력을 인정받고 있는 시큐레터.

임차성 대표는 “기존 시그니처 기반은 시그니처를 알고 있는 공격만 방어가 가능하다. 또 행위 기반 APT 방어솔루션은 가상환경에서 회피가 가능하고 행위 미발생시 혹은 시간차 공격, 사용자 행위 조건 공격 등에 대해서는 탐지가 불가능했다”며 “시큐레터는 행위 기반 탐지 우회공격이나 알려지지 않은 제로데이 공격 그리고 악성행위가 없는 악성코드를 핵심 리버스 엔지니어링 기술을 통해 익스플로잇을 진단함으로써 정확하고 효과적으로 진단, 탐지, 차단할 수 있다”고 강조했다.

최근 5년간 침해 유형을 살펴보면, 악성코드 공격 비율이 54.1%로 가장 높았고 특히 이메일에 첨부된 문서파일 형태의 공격이 70%가 넘었다.

공격자들은 초창기에 실행파일 자체를 첨부해 악성행위를 바로 일으키는 방식이 차단되자 이제는 비실행 파일 즉 일반 문서파일의 취약점을 이용한 공격을 주로하고 있다. 사회공학 기법을 활용해 사용자가 문서를 열어 보도록 유도해 공격을 성공시키고 있는 것이다.

이런 공격이 주를 이루면서 기존 시그니처 기반, 행위 기반 보안솔루션들은 한계를 드러냈다. 정상적인 문서파일을 첨부하고 악성행위도 보안솔루션이 탐지할 수 없도록 시간이 지난 뒤 작동하도록 위장하기 때문이다. 즉 메일을 통해 비실행 파일로 유입되고 행위도 즉시 발생하지 않기 때문에 행위 기반 샌드박스로는 APT 공격 탐지가 불가능하게 된 것이다.

시큐레터는 이점을 극복하기 위해 리버스 엔지니어링 기법을 활용해 각 과정에서 발생할 수 있는 취약점을 신속하게 검사하고 MARS 분석 자동화 알고리즘을 통해 행위 확인없이 비실행 문서 파일을 탐지할 수 있는 기술을 확보하고 있다.

임차성 대표는 사례를 들며 “시큐레터 이메일 보안 구독형 서비스 MARS SLES를 직원수 4천명, 일평균 메일수 3만2천건, 첨부율 3천671건에 달하는 기업 메일 시스템에 적용해 보호한 결과, 시그니처 기반 백신은 8건을 탐지했고 시큐레터 제품은 40건을 탐지해 냈다”며 “간단한 구성을 통해 이메일로 유입되는 악성코드를 사전 탐지, 차단할 수 있었다. 메일을 통한 위협으로부터 중요 자산을 보호하고 별도의 관리 인원도 필요 없다. 또 구독형 서비스라 저렴한 비용으로 메일을 통한 랜섬웨어, 스피어 피싱, 이메일 피싱으로부터 자산을 보호할 수 있다”고 설명했다.

시큐레터는 중소벤처기업부에서 지정한 ‘중소기업을 위한 랜섬웨어 이메일 탐지서비스 공급’ 기업으로 2년 연속 선정됐다. 중소기업들도 지원금을 통해 저렴한 비용으로 랜섬웨어로부터 보호받을 수 있게 된 것이다.

또 망연계(망분리), 게시판 구간에 시큐레터 제품을 배치해, 악성 파일이 내부 시스템으로 유입되는 상황을 효율적으로 차단할 수 있다.

임차성 시큐레터 대표, G-PRIVACY 2022 강연현장
임차성 시큐레터 대표, G-PRIVACY 2022 강연현장

임 대표는 “여기에 콘텐츠 무해와 기술(CDR)도 적용했다. 첨부파일의 악의적인 위협요소를 제거하고 어셈블리 레벨 분석으로 비실행형(문서) 파일 악성코드 취약점을 빠르고 정확하게 진단할 수 있다”며 “시큐레터 CDR은 악성코드 분석 기술이 아닌 문서 내 액티브 콘텐츠만 제거한다. 이때 취약점 기반 공격 시 탐지가 어렵기 때문에 SLF(리버스 엔지니어링 악성코드 분석)와 CDR 기능을 접목해 더욱 강력한 보안을 제공할 수 있다”고 강조했다.

끝으로 임 대표는 “해킹 공격의 시작은 대부분 이메일로 시작된다. 진화하는 악성코드 공격으로 기존 보안시스템을 피해갈 수 있는 기법들이 날로 증가하고 있다. 알려지지 않은 새로운 패턴까지 탐지하고 차단하는데 시큐레터가 그 해결책을 제시하겠다”고 덧붙였다.

시큐레터 임차성 대표의 보다 상세한 강연내용은 아래 영상을 참고하면 된다. 강연자료는 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★