| 내용 |
최근 공격자들은 이메일 첨부파일, 업무용 문서 등을 악용해 악성코드를 유포하는 방식으로 공격을 고도화하고 있다. 특히 정상 문서와 구분이 어려운 형태의 파일을 활용해 보안 탐지를 우회하거나, 업무 특성상 파일 열람이 불가피한 상황을 노리는 사례가 늘고 있다. 안랩은 이 같은 변화에 대응해, ‘탐지 이후’ 단계에서 발생할 수 있는 대응 공백을 줄일 수 있도록 CDR 기능을 자사 MDS 솔루션에 새롭게 적용했다.
문서 기반 공격 대응의 새로운 기준 제시
AhnLab MDS의 CDR은 문서 내에 포함된 잠재적 위협 요소를 제거한 뒤, 원본과 유사한 형태의 안전한 파일로 재구성(Reconstruction)하는 기술이다. 기존 시그니처 기반 또는 행위 분석 방식으로는 악성 여부 판단이 어려운 문서 파일도 업무 연속성을 해치지 않으면서 안전하게 활용할 수 있도록 지원하는 것이 핵심이다.
CDR은 오피스(Office) 문서, PDF, HWP, ZIP 등 다양한 포맷을 지원하며, 문서 내부의 Active Contents(JavaScript, Flash, ActiveX 등)를 제거해 위협 요소를 원천적으로 차단한다. 이를 통해 사용자는 악성일지도 모르는 문서를 열지 못해 업무가 중단되는 상황을 피하고, 무해화된 안전한 문서를 즉시 활용할 수 있다.
MDS·MTA 환경에서 구현되는 CDR 자동 무해화 AhnLab MDS는 CDR 기능을 통해 단순 탐지를 넘어 실질적인 대응 단계까지 문서 보안 범위를 확장했다.
MDS 및 MTA 환경에서는 업로드 파일이나 탐지 이력에서 선택한 파일을 CDR 처리한 뒤 안전한 파일로 다운로드할 수 있다. 또한, MTA에서는 자동 대응 정책과 연계해, 악성 또는 의심 첨부 파일을 자동으로 CDR 처리 후 수신자에게 전달하는 기능도 제공한다. 이를 통해 보안 담당자는 별도의 수동 조치 없이도 문서 기반 위협을 선제적으로 무력화할 수 있다.
CDR 처리 결과와 관련 로그, 리포트 파일은 관리 화면에서 확인 가능해 보안 가시성과 관리 효율성도 함께 향상된다.
[그림 1] CDR 처리 성공 로그 및 리포트 확인을 통한 가시성 강화
문서 보안 강화와 사용자 경험 개선을 동시에
AhnLab MDS에 적용된 CDR은 ▲문서 보안 강화 ▲미탐·오탐에 따른 업무 지연 최소화 ▲사용자 경험 향상이라는 효과를 동시에 제공한다.
특히 “업무상 반드시 열어야 하지만, 보안상 불안해 열지 못하는 문서”라는 기존의 딜레마를 해소해 보안과 생산성의 균형을 맞춘 것이 특징이다.
안랩은 CDR 도입을 통해 증가하는 문서 기반 공격 트렌드와 지능화된 공격 기법에 선제적으로 대응하고, 고객 환경에 보다 실질적인 보안 가치를 제공한다는 전략이다.
라이선스 및 지원 범위CDR 기능은 ‘AhnLab MDS CDR Lite License’ 형태로 제공돼, 별도 라이선스를 구매한 후 MDS·MTA 장비에서 활성화해 사용할 수 있다. 지원 펌웨어는 MDS 2.1.25, 지원 모델은 MDS 5000B/10000B/20000B이다.
기존 MDS나 MTA 장비를 사용 중인 고객도 CDR 라이선스를 추가 구매하면, 기존 기능은 그대로 유지한 채 CDR 기능을 확장 적용할 수 있다. 라이선스는 장비 단위 연간 갱신 방식으로 운영된다.
안랩은 향후 API 기반 ‘CDR Advanced’ 라이선스 출시도 검토하고 있다. 안랩 MDS 제품 담당자 이연주 매니저는 “CDR은 기존 탐지 기술만으로는 대응이 어려운 문서 기반 공격에 대해 실제 업무 환경에서 활용 가능한 현실적인 해법”이라며, “CDR(지란지교시큐리티 SDK 기반)을 탑재한 AhnLab MDS는 탐지부터 무해화, 전달까지 이어지는 문서 보안 체계를 점진적으로 완성해 나갈 것”이라고 말했다.
[출처 : 안랩(www.ahnlab.com)] |
.jpg)
.jpg)
