CDR기반 랜섬웨어 예방 솔루션 “새니톡스”를 소개합니다

재택근무와 같은 모빌리티 근무가 활성화되면서 해커들의 공격이 더 쉬워졌다고 해요.  

특히, 공격 대상을 지정하는 스피어피싱 공격이 활개를 치고 있다고 하는데.. 왜 그럴까요?

아무래도 비대면 환경으로 실체를 확인하기 어렵다는 점을 악용하는 것이 아닐까 싶습니다.

예를 들어서..

사내 직원이 보낸 메일이지만 실제로 그 직원이 보냈을까요?

만약 해커가 사칭해서 보냈다면??

다운받은 파일은 안전할까요?

보고서 양식이지만 감염된 파일이라면?

그 안에 악성코드가 심어져 있다면??

제로 트러스트. “신뢰하지 말고 항상 검증할 것”이라는 전제하에

최종 단계에서 의심스러운 콘텐츠를 분석하고, 뜯어고쳐

안전한 파일로 만드는 기술을 CDR 기술이라고 하는데요,  

오늘은 지란지교시큐리티 박국진 팀장을 만나

CDR 기반의 랜섬웨어 예방 솔루션인 새니톡스에 대한 소개와

어떻게 활용되고 있는지를 들어보겠습니다.

1. 새니톡스가 어떤 서비스인지 소개를 해주실 수 있나요?

새니톡스는 일반문서로 위장한 악성코드 파일을 뜯어 고치는 랜섬웨어 예방 솔루션입니다.

먼저 유입되는 파일을 안티 바이러스(백신)로 1차 검사를 진행하고, 모든 문서의 구조 분석을 통해 악성코드로 활용 가능한 액티브 콘텐츠 영역만을 탐지하여 제거(비활성화) 한 후 안전한 파일로 재조합 하는 콘텐츠 악성코드 무해화(CDR*) 기술을 기반으로 첨부파일 악성코드를 대응합니다.

위협요소를 원천 제거 후 안전한 파일로 재조합하기 때문에 랜섬웨어 공격과 알려지지 않은 보안 위협을 사전에 예방할 수 있어 안전한 보안환경을 구축할 수 있습니다.

*CDR(Content Disarm & Reconstruction) : 콘텐츠 악성코드 무해화 & 재조합 기술

새니톡스 소개 보러가기 : https://www.jiransecurity.com/products/sanitox

2. 새니톡스 소개를 살펴보니 악성코드 공격 패턴에도 트렌드가 있는 것 같습니다. 최근 악성코드 트렌드는 어떤 것이 있을까요?

기존에 알려진 악성코드 공격은 웜이나 트로이목마와 같이 실행 파일을 배포하는 형태가 주를 이루었습니다. 이러한 시그니처 기반의 공격들은 안티 바이러스 솔루션으로 대응이 가능했지만 해커들은 보안솔루션으로 대응할 수 없는 새로운 형태의 공격을 만들어 냈습니다. 바로 시스템이 아닌 사람의 취약점을 공략하여 원하는 정보를 얻어내는 사회공학적 기법입니다.

랜섬웨어*를 감염시키는 주범으로 사회공학적 기법을 꼽고 있는데 그 중 대표적인 공격 방법은 링크나 html, excel과 같은 문서 형식의 첨부파일, 대용량파일 등 안티 바이러스가 *탐지할 수 없는 액티브 콘텐츠를 포함시켜 실행을 유도하는 방법입니다. 이 공격을 통해 해커는 사용자의 계정정보 등 정보를 탈취하거나 금전적 이익을 위한 추가 공격으로 이어집니다.

코로나 이전에는 메일을 통해 견적서나 해외 배송정보 안내와 같은 불특정 다수를 겨냥한 메일로 위장하는 유형이 많았지만 최근 코로나 이후 정부지원금 등의 코로나 관련 내용을 주제로 잡아 파일을 바로 실행할 대상을 타깃으로 한 콘텐츠를 통해 사용자의 열람 욕구를 증폭시키는 추세입니다.

이러한 사회공학적 기법을 이용한 악성코드 및 랜섬웨어가 가장 많이 유입되는 주요 감염 경로는 이메일 구간입니다. 사람들의 이메일 보안 인식을 제고하기 위한 서비인 머드픽스*로 반복적인 훈련을 하여 구성원의 보안 수준을 향상시킬 수 있고, 이메일 및 다양한 경로를 통해 유입되는 콘텐츠를 모두 안전하게 치환하는 시스템인 새니톡스를 통해 발생 가능한 휴먼에러를 상호적으로 대응할 수 있습니다.

* 랜섬웨어 : 중요한 파일을 암호화하고 파일을 해독하기 위해 몸값을 요구하는 멀웨어

* 탐지할 수 없는~ : 문서마다 고유한 해시 값이 존재하는데, 데이터의 내용이나 저장시간이 조금이라도 변경되면 새로운 해시 값이 주어지기 때문에 시그니처 기반의 안티바이러스에서 검출 불가능

* 머드픽스 소개 보러가기 : https://www.jiransecurity.com/products/mudfix

3. 백신 개발 시 바이러스에 대한 노출 위험이 높아지듯 보안 제품을 개발하다 보면 악성코드에 대한 노출 위험도 클 것 같습니다. 이에 대한 대비책이 따로 있을까요?

말씀하신 대로 보안이 취약한 보안 벤더사가 해커들의 타겟이 되기도 합니다. 공급망 자체를 해킹하여 오염된 솔루션이 고객사에 침투되도록 하는 공격 사례가 실제로 존재합니다. 이에 대한 대비책을 몇 가지 소개해드리겠습니다.

보안제품을 개발할 때 다른 개발할 때와 마찬가지로 구글링과 깃허브 등을 통해 다양한 오픈소스를 참고하게 됩니다. 이 때 악의적으로 오픈소스 내 악성코드를 몰래 끼워놓는 사례가 있으므로 출처가 명확하며 검증된 오픈소스만 사용해야 하며, 활용 시 그대로 복사&붙여넣기를 하지 않아야 합니다.

보안제품 개발도 PC를 통해 이루어지는 것이기에 사내보안 정책을 올바르게 준수하여 백신 업데이트를 활성화하고, 가급적 외부 자료를 사용하지 말고, 개발 SW 및 OS의 보안패치가 나오면 즉시 적용하여 안전한 보안환경을 구축해야 합니다.

그리고 제품 특성상 악성코드가 포함된 파일을 많이 다루게 되므로, VM(Virtual Machine) 환경에서 개발을 진행하고 있습니다.

4. 새니톡스 도입 사례 중 기억에 남는 사례가 있을까요?

많은 기관 및 기업에서 새니톡스를 이용해 주시고 기억에 남지만, 그 중에도 특별히 기억에 남는 분야별(금융기관, 공공기관, 일반기업) 각 1곳씩 사례를 말씀드리겠습니다.

금융기관: 광주은행

국내 1금융사 첫번째 구축사례인 광주은행입니다.

당시 고객사는 다양한 채널(메일, 망연계)에서 유입되는 악성코드 문제가 발생하였고, 악성코드 분석 시 기존 보안솔루션(백신, APT)을 우회 하는 공격이 대부분이었습니다. 해결 방안 고심 중이었고, 당사에서는 해당 문제의 대응방안 및 구성안을 컨설팅 진행하였습니다. 이후 여러 검토 끝에 새니톡스를 도입해 주셨습니다. 현재까지 만족감 있게 사용 중이며 더욱 감사하게도 그룹사인 전북은행에 보안강화 목적을 위해 도입권고를 해 주셔서 추가 사업까지 수주가 되는 성과를 얻게 되었으며, 지금까지 금융권 사업을 진행하는데 많은 도움을 받고 있습니다.

공공기관: 남부발전

남부발전은 공기업 업무 특성상 공공기관, 민간기업, 대학 등에서 많은 외부 자료 유입되며, 유입되는 자료를 통해 여러차례 악성코드 문제가 발생하였습니다. 그후 여러 논의 끝에 새니톡스 도입하셨고 외부에서 유입되는 다양한 채널(출입관리, RPA, 연구과제 수신, 법제처 자료, 홈페이지 등)과 연동하여 사용 중이며, 도입 후 현재까지 악성코드 문제는 발생되지 않고 있습니다. 추가적으로 도입 년도 사업부 모범 사업 선정 성과를 얻게 되었고, 현재까지 당사 새니톡스를 만족감 있게 사용하고 있습니다.

일반기업: 이랜드 그룹

이랜드 그룹은 지난 2020년 11월 22일 클롭 랜섬웨어 조직의 공격을 받아 피해를 최소화하기 위해 사내 네트워크 시스템 일부를 차단하였고 NC백화점, 뉴코아아울렛 등매장 50여곳 중 23곳이 영업을 일시적으로 중단한 사태가 발생하였습니다.

이랜드 그룹을 해킹한 클롭 랜섬웨어 조직은 4천만달러(450억) 해당하는 비트코인을 요구하였다고 하며 협상에 응하지 않을 경우 해킹한 200만건 카드정보 다크웹에 유출하겠다고 엿새 동안 사내 메일을 통해 협박하였다고 합니다. 이랜드 그룹은 협상에 응하지 않았고 해커 조직에서 자신들이 탈취했다고 주장하는 고객 카드 정보를 총 10차례에 걸쳐 100만건을 공개하였으나 다행히 해당 정보는 대부분 다크웹에서 돌아다녔던 개인정보임이 확인됐다고 하며 최종양 부회장을 필두로 시스템 복구에 박차를 가한 결과 수일내 복구하였다고 합니다.

공격을 진행한 이들 조직은 주로 악성 이메일 첨부파일을 통해 해당 파일을 실행할 경우 악성코드가 실행되도록 하여 랜섬웨어를 유포하였다고 합니다. 저희가 항상 강조하고 주의를 요구하는 첨부파일 악성코드 공격 패턴의 한 종류인데요, 해당 랜섬웨어 공격으로 인해 보안의 중요성을 깨닫고 저희 새니톡스의 도입을 검토해 주셨습니다. 현재 2022년 4월 30일 구축을 완료하여 이메일 구간의 첨부파일에 악성코드 공격에 대한 대비를 새니톡스를 통해 진행하여 이랜드 그룹의 보안이 한 층 강화되었습니다.

다행히 수 백억원에 해당하는 비트코인을 지불하지 않았고, 복구 기간 동안의 영업 손실액 정도로 그친 점이 다행이라면 다행이라고 할 수 있겠는데요, 하지만 항상 이렇게큰 탈 없이 마무리되리라는 보장이 없다는 것이 안타깝게 생각됩니다. 저희도 이런 사례를 통해 보안의 중요성을 다시 한번 느끼게 되고 이랜드 그룹도 느꼈을 거라 생각이 됩니다.

5. 담당자 입장에서 새니톡스 자랑 한 번 부탁드리겠습니다.

새니톡스는 국내 CDR 시장 점유율 1위 제품으로, 차세대 보안 시장을 선도하는 비전을 가지고 있습니다.

웹서버, 메일서버, 망연계서버, RPA, 챗봇, 아이솔레이션 등 문서 파일이 오고 가는 구간이라면 어디든 연동할 수 있는 폭넓은 확장성을 가지고 있으며, 이 모든 연동을 장비 단 한 대로 서비스할 수 있는 똑똑함을 가지고 있는 문서형 악성코드 대응 전문 솔루션입니다.

또한 다섯가지 레벨로 위험도를 분류하고 위험으로 판단되는 파일은 연관 분석을 통해 제로데이 공격 무해화에 대한 이력을 확인할 수 있는 전문성을 제공하는 랜섬웨어 대응 전문 솔루션입니다.

이러한 모든 작업들을 1초 이내에 수행하여 업무 지속성을 유지시키고, 문서의 원본형태를 그대로 유지시킬 수 있는 무결성 또한 보장하는 안정성 높은 보안 솔루션입니다.

새니톡스 EP의 경우 PC에 아주아주 간단하게 설치하고 개인에 맞게 정책을 설정할 수 있어 편리하고 강력한 보안 라이프를 제공합니다.
* 패밀리 전용 무료 다운로드 링크 : https://ep.sanitox.com/accounts/welcome_personal/

자랑하려니 끝도 없이 말이 나오네요! 무엇보다 제품에 대한 애정이 넘치는 신기술융합사업부의 지속적인 연구 및 개발을 통해 나날이 고도화되어 가고 있기에 앞으로가 더욱 기대되는 제품이랍니다! 여러분들의 많은 관심과 사랑 그리고 고객사 소개를 부탁드립니다~

콘텐츠 검색

  • 카테고리 선택

  • 기간 선택

    ~

(Notice!!) story.jiran.com 내의 검색 결과가 보여집니다.