기업과 기관을 노린 사이버위협에서 악성코드를 전달하는 매개체로 오피스 문서를 비롯한 각종 파일이 동원되고 있다. 워드, 엑셀, 파워포인트 및 PDF 문서나 이미지 형식뿐아니라 정상 파일을 위장한 스크립트 및 실행파일형 악성코드도 활용되는 추세다.
악성코드 공격에 의한 시스템 이상을 일종의 질병 감염 상태로 본다면 악성코드는 병을 옮기는 '균'에 해당하고 이를 포함한 문서 등 악성파일은 균에 '오염된 물질'에 빗댈 수 있다. 오염됐을 가능성이 있는 물질을 안전하게 다루려면 '살균'이 필요하다.
디지털 살균 아이디어로 악성코드 유입을 차단하는 솔루션으로 미국 보안업체 '옵스왓'이 출시한 메타디펜더 볼트(MetaDefender Vault)가 있다. 메타디펜더 볼트는 다중 안티바이러스 엔진으로 유입 파일의 유해성을 판정하고 악성 요소를 제거해 배포할 수 있는 파일서버다.
옵스왓에 따르면 메타디펜더 볼트는 업무망, 사설망, 폐쇄망, 망분리 구간의 파일 전송 및 저장을 지원한다. 두 보안네트워크간의 안전한 파일 저장 및 전송을 수행하거나, 보안 수준이 서로 다른 네트워크간 파일을 주고받는 프로세스의 보안위협을 줄일 수도 있다.
사용자가 업무용으로 공유할 파일을 서버에 올릴 때 메타디펜더 볼트의 안티바이러스 멀티스캐닝과 데이터 살균(CDR) 기능이 돌아간다. 사용자가 업로드한 파일을 내려받는 동료나 협력자는 멀티스캐닝과 CDR 동작을 통해 안전하게 처리된 문서 및 파일에만 접근할 수 있다.
과정은 이렇다. 먼저 안티바이러스 멀티스캐닝이 진행된다. 업로드된 파일의 악성여부를 30여종의 국내외 백신이 동시에 판정한다. 악성 판정되면 다운로드할 수 없도록 차단된다. 백신 엔진 중 최소 몇개 이상이 악성이라 볼 때 차단한다는 식으로, 차단 임계치를 지정할 수 있다.
이어 CDR 동작이 문서에 삽입된 매크로, 웹링크 등 유해동작을 할 수 있는 요소 제거여부를 지정하고 남은 원본 콘텐츠를 재조합한다. 이게 지원되는 40여종의 문서 및 파일에 대해서는 안티바이러스로 차단되지 않을 수 있는 악성코드나 악성스크립트를 추가로 거를 수 있다.
옵스왓 솔루션 사업의 국내 파트너 인섹시큐리티가 지난 10월 간담회를 열고 메타디펜더 볼트 국내 출시 소식을 내놨다. 당시 악성코드를 탐지, 제거해 파일기반 지능형위협방지(ATP) 기능을 제공하고 CDR 기능으로 고위험 제로데이공격을 차단한다는 메시지에 초점을 맞췄다.
현장 발표 내용을 보면 메타디펜더 볼트의 기반기술은 '메타디펜더 엔진'이다. 엔진은 파일의 해시값을 추출해 각 백신 엔진에 동시 대조한다. 멀티스캐닝 기능에 동원되는 여러 안티바이러스 엔진은 병렬 프로세스로 실행돼 충돌 및 속도 지연 문제가 크지 않다는 설명이다.
또 메타디펜더 엔진의 CDR 기능은 한컴오피스 한글(HWP), MS오피스 워드, 엑셀, 파워포인트, 어도비 PDF, 비트맵(BMP) 및 여러 사진(JPG)과 디지털카메라 원본(TIFF) 이미지, 출력문서 이미지(EPS) 등 40여종의 원본 파일 형식을 안전한 150여종의 파일로 변환할 수 있다고 한다.
최근 메타디펜더 볼트를 국내 유통하고 있는 인섹시큐리티를 통해 이 제품의 세부 특성을 확인했다. 회사측은 멀티스캐닝 및 CDR 기능이 여타 망분리 환경의 파일전송을 지원하는 '망연계' 솔루션 대비 경쟁력이 있으며 일반 기업내 보안파일서버 대체 효과도 있다고 주장했다.
이런 얘기다. 다른 망연계 솔루션은 인입 파일의 악성 여부를 단일백신으로만 판정하는데 메타디펜더 볼트는 여러 백신을 통해 탐지율을 높였다. 더불어 CDR 기능은 백신으로 탐지, 차단되지 않은 악성파일에서도 추가로 유해성을 제거할 수 있다.
메타디펜더 볼트는 웹 인터페이스로 사용된다. 관리자와 사용자에게 각 파일의 악성 여부를 탐지하고 결과를 보여 준다. 결과는 파일을 업로드하면 악성여부를 탐지하고, 원래 정상 파일이었는지, 악성요소가 있었지만 무해화됐는지, 악성파일이라 차단됐는지 등으로 분류된다.
메타디펜더 볼트 관리자권한으로 인증된 사용자만 파일을 올릴 수 있다. 관리자는 외주 직원용 임시 및 시한부 접근 권한을 지정할 수 있다. 사용자의 접근 권한을 특정 파일로만 제한하거나, 파일의 보관기간을 지정하거나, 올라온 파일의 다운로드 허용을 직접 승인할 수 있다.
인섹시큐리티 윤재호 선임엔지니어는 "메타디펜더 볼트는 주로 (보안규정과 맞물려있는) 망분리 환경에 도입돼 불가피하게 파일 전달이 필요한 지점에 악성코드가 인입되는 시나리오를 보완할 목적으로 쓰지만 일반 기업의 파일 업로드, 다운로드가 빈번한 사내 파일저장소, 웹서버, 네트워크스토리지 등에 연계해 쓰거나 파일서버를 대체하는 용도로 쓸 수도 있다"고 설명했다.
관련기사
- 옵스왓, 외부 파일 악성코드 차단 시스템 출시2018.12.13
- 잉카인터넷, 옵스왓에 타키온 코어스위트 공급2018.12.13
- HWP 악성코드가 많긴 많나 보다2018.12.13
- "무료 웹서비스로 악성 문서파일 무장해제 OK"2018.12.13
인섹시큐리티 측에 따르면 웹프록시로 HTTP 기반 접근과 파일 업로드를 사용 중인 환경을 메타디펜더 볼트로 대신할 수 있다. 웹프록시는 내부망에 파일 업로드 및 접근 자체를 막는 용도르 쓰인다면 메타디펜더 볼트는 보안성을 갖고 양방향 접근을 지원 가능하다는 설명이다.
메타디펜더 볼트는 주요 형식의 파일단위 검증 기능에 초점을 맞춘 솔루션이다. 샌드박스의 대체재는 아니다. 기존 샌드박스에 쏠린 역할을 일부 대신하면서, 실행파일 및 파일리스공격까지 대응할 수 있는 샌드박스가 더 효율적으로 제 기능을 하도록 보완한다고 볼 수있다.