문서 등 비실행 파일로 유입되는 악성코드를 탐지·분석해 원천 차단하는 클라우드 서비스가 인기를 얻고 있다.
보안 전문기업 시큐레터(대표 임차성)는 지난 상반기 아래아한글이나 PDF 파일 등 비실행파일에 심겨진 악성코드를 원천차단하는 클라우드 보안 서비스 '시큐레터 클라우드서비스(SLCS)'를 출시했다. 이 서비스를 도입한 중견·중소기업은 저렴한 비용으로 컴퓨터 감염이 줄어들었다며 호평을 하고 있다고 시큐레터는 밝혔다.
이 서비스는 메일서버를 별도로 두지 않고 호스팅을 이용하거나 별도 IT 자산관리 유지보수가 어려운 고객 등 중소·중견기업을 위한 서비스다. 클라우드 서버가 악성 문서파일이 포함된 이메일을 걸러내 이용자가 메일을 열람하는 행위를 원천 차단한다.
최근 사이버 공격은 취약점을 노리는 방법을 넘어 일반 문서 파일 등으로 만들어진 비실행 파일을 메일에 첨부해 감염시키는 사례가 늘고 있다. 보통 아래아한글이나 PDF 파일 같은 비실행파일에는 악성코드를 심기 어렵다. 해커는 비실행파일은 의심하지 않고 파일을 연다는 점을 노려 악성코드를 문서파일에 심은 다음 이메일에 첨부해 퍼뜨린다. 문서파일에 숨겨진 악성코드에 감염된 컴퓨터는 원격조종이 가능할 정도로 보안이 취약해진다. 최초 등장시엔 PC를 감염시켜 데이터를 빼내는 것에 그쳤으나 이제는 원격제어까지 시도하고 있다.
이 같은 문서파일을 통한 해킹을 막기 위한 솔루션이 지능형지속위협(APT:Advanced Persistent Threat) 또는 행위기반 솔루션이다. 가상 윈도 프로그램을 만들어 다운로드한 파일을 먼저 열어보고 악성코드가 활동하면 막고 없으면 문서를 열어볼 수 있게 허락한다. 그러나 기존 APT솔루션은 문서파일을 열어본 뒤 며칠 후 악성코드가 활동하게 하거나 문서 끝부분에 악성코드를 숨겨 놓으면 잡아내지 못하는 취약점이 있다.
시큐레터는 기존 APT솔루션이 잡아내지 못하는 문서파일 악성코드를 효과적으로 차단한다. 파일 소스코드를 분석해 행위 여부와 상관없이 어셈블리 레벨에서 슬립 동작 이전에 탐지한다. 행위를 기다리지 않고 어셈블리 레벨에서 분석 진단하기 때문에 APT솔루션에 비해 진단 시간 및 메일 수신 지연시간이 대폭 줄었다.
시큐레터는 악성코드 분석 패턴을 자동화했다. 파일이 확인되면 리버스엔지니어링으로 어셈블리 레벨 분석을 진행한다. 파일 속성 진단으로 악성코드 동작 이전 탐지와 차단이 가능하다. 기존 동적·정적 분석을 넘어 상세 분석을 더했다. 분석한 파일과 악성코드 상세 내용은 관리자에게 리포트로 제공한다.
사내 이메일 관리자가 가이드에 따라 내부 이메일 설정을 변경해 주면 즉시 서비스를 이용할 수 있다. 시큐레터는 중견·중소기업 비용부담을 고려해 서버를 구축할 필요가 없는 클라우드 서비스를 내놓았다고 밝혔다.
임차성 시큐레터 대표는 “도입 부담을 낮출 수 있는 솔루션으로 기업이 고급 보안 서비스를 부담 없이 사용할 수 있는 시장을 창출할 것”이라면서 “저렴한 비용으로 알려지지 않은 악성코드를 탐지하는 보안 서비스를 받을 수 있어 인기를 얻고 있다”고 말했다.
권상희기자 shkwon@etnews.com
