비실행파일 공격 차단… 근원적 보안 효과

입력: 2018-06-11 18:00 이규화 기자

폰트

기자 구독

패턴 바뀌는 사이버 공격 대응
분석 엔진 갖춘 'SLE' 솔루션
문서 형태 악성코드 탐지 특화

■성장기업

시큐레터

사이버 공격은 끊임없이 패턴을 바꾸며 기존 보안 시스템을 우회한다. 사이버 방어의 관건은 알려지지 않는 공격 패턴을 감지 차단하는 것이다. 이미 알려진 패턴이나 악성코드는 사실 별문제가 안 된다. 고수 보안기업은 바로 이 점에서 다르다.

거의 전 국민을 대상으로 하는 한 공공기관에 악성파일이 침입한 사고가 발생한 적 있다. 알고 보니 민원서비스 양식의 문서파일로 들어온 것이었다. 비실행파일(Non-PE)인 문서파일은 설치돼있던 APT(지능형 지속위협) 대응솔루션을 우회했다. IT 공공기관인 K기관은 망연계 솔루션을 도입했으나 비실행형파일, 특히 문서 형태의 파일로 들어올 수 있는 악성코드를 사전에 탐지하는 데 허점이 노출돼 있는 점을 깨달았다.

위 두 가지 경우에 초점을 맞춰 알려지지 않거나 우회 또는 속임수를 쓰는 악성코드 공격을 막아내는 기술 개발에 매달려온 기업이 시큐레터(대표 임차성)다. 가장 밑단의 어셈블리 레벨에서 악성코드를 잡아낸다. 특히, 한글이나 워드문서, PDF, DOC 등 비실행파일에 익스플로잇을 숨겨 시차(時差) 동작하는 악성코드를 탐지한다. 행위기반 보안 솔루션들은 악성파일을 행위 시점에서 탐지하지만, 시큐레터는 비실행파일 속 익스플로잇을 찾아내 근원적으로 차단하는 방식을 쓴다.

임차성 대표(사진)는 "문서파일은 비실행파일이기 때문에 대부분 의심 않고 열어보게 되는데, 최근 교묘해지는 악성코드 공격은 파일을 열어볼 때 감염시키는 것이 아니라 서너 페이지 열어볼 때까지 기다린다"며 "문서파일 익스플로잇은 갈수록 진화하기 때문에 시그니처 기반의 백신이나 행위 기반의 APT 솔루션만으로는 한계가 있다"고 말했다.

시큐레터는 STAP(Specialized Threat Analysis & Protection)라는 비실행파일의 익스플로잇을 탐지하는 기술로 그동안 방치됐던 보안의 허점을 보완했다. 어셈블리 레벨의 근원적 분석기법을 고안할 수 있었던 것은 임 대표와 개발자들이 국내 대표 백신기업에서 리버스 엔지니어링을 통해 체득한 고급 수동 분석 패턴의 장점을 잘 알고 있었기 때문이다.

임 대표는 "리버스 엔지니어링은 시스템을 철저히 해부해 문제점을 밝혀내는 행위이기 때문에 정교한 분석이 가능하다"며 "시큐레터의 제품은 전문가의 수동 분석 패턴을 알고리즘화하고 자동화해 오탐과 미탐을 최소화하고 진단 시간을 최소화할 수 있다"고 강조했다.

시큐레터의 'SLE'(SecuLetter Email) 솔루션은 이메일로 유입되는 비실행형 파일 형태의 악성코드에 특화된 어플라이언스 기반의 제품이다. 알려지지 않은 공격까지 사전에 탐지, 차단해 주는 전문위협대응솔루션이다. 전용 문서 분석 엔진을 탑재한 SLE는 어셈블리 레벨 분석을 통해 문서가 일으키는 악성 행위를 사전에 탐지 차단한다. 'SLF'(SecuLetter FileServer)는 내외부 망을 통해 파일을 주고받는 환경에서 의심하기 힘든 형태의 비실행형, 특히 문서 형태의 파일로 들어오는 악성코드를 사전에 탐지, 차단해주는 전문위협대응솔루션이다.

시큐레터는 클라우드 방식으로도 솔루션을 제공한다. 'SLCS'는 SLE나 SLF가 수행하는 전문 악성코드 분석 기법을 그대로 클라우드 환경에 접목한 서비스다. 이메일에 포함돼 유입될 수 있는 랜섬웨어, 좀비제어, 제로데이공격, 스피어피싱 등의 각종 위협을 차단하며, 기존에 알려지지 않은 형태의 공격까지도 탐지하고 원천 차단한다. 'SLCS-SMB 팩'은 SLCS의 서비스를 중소기업에서도 부담 없이 사용할 수 있도록 연 과금 형태로 제공하는 서비스팩이다. 시큐레터는 SLE를 문서파일로 악성코드 공격을 받았던 공공기관에, SLF를 IT K기관에 공급했다. 시큐레터는 어셈블리 레벨의 비실행파일 익스플로잇 공격 대응 솔루션 분야에서 국내외를 불문하고 선도적 기술력을 보유하고 있다. 2016년 10월 설립 1년 만에 국내 대표적 VC로부터 20억 원을 투자받았다. 현재 실리콘밸리 진출을 준비하고 있다.

이규화 선임기자 david@dt.co.kr

서울특별시 중구 새문안로22
☎ 02) 3701-5500
등록번호 : 서울 아01699
등록일자 : 2011.07.15
발행일 : 2000.03.03
발행인/편집인 : 박학용

비실행파일 공격 차단… 근원적 보안 효과

이 시간 핫클릭

핫 이슈!