문서 기반 표적형 악성코드 공격에 대한 전 세계의 우려와 경계심이 높아 가고 있다. 지난 1년 동안 워드와 PDF 같은 문서 파일 형태 악성 코드는 상위 10개 악성 코드 가운데 평균 63%를 차지한다. 문서 기반 표적형 공격은 사회공학과 기존 보안 환경을 우회하는 기술이 결합된 형태로 실제 피해까지 이어지는 확률이 매우 높다.
세계 차원에서는 파일 내 실행 가능한 액티브 콘텐츠(매크로, 자바스크립트, OLE 오브젝트 등)를 제거하고 안전한 문서로 재조합하는 콘텐츠재구축(CDR) 기술이 대응 방안으로 대두된다. 아직까지 국내는 인지조차 부족하다. 반면에 국내 환경과 유사한 일본은 CDR 시장이 성공리에 자리 잡았다.
일본은 2014년 사이버보안 기본법과 중앙 컨트롤타워를 신설하는 등 국가 차원 사이버위협 대응 체계 수립을 추진했다. 2015년에 발생한 연금기구 대규모 개인 정보 유출 사고로 더욱 강력한 보안 대책이 필요해졌다. 지방자치단체 보안 강화를 위해 보안 인프라 구축과 솔루션·시스템 도입 시 보조금을 지원하는 정책을 추진했다. 정책에 명시된 '네트워크 분리'와 '통신의 무해화'로 새롭게 떠오른 시장이 현재 CDR로 불리는 무해화 시장이다.
초기 무해화는 분리된 네트워크 환경에서 업무망으로 감염된 파일 유입을 원천 차단하기 위해 이메일 첨부파일 삭제(파일 유입 차단), HTML메일을 텍스트화하는 방식이 중심이었다. 그러나 이 방식은 업무 생산성 저하라는 부작용을 낳았다.
해당 수요가 파일을 PDF, 이미지로 변환해 전달하는 변환솔루션으로 대체되면서 파일 형태를 유지하고 파일 내 위협 요소를 제거, 재조합하는 CDR가 주목 받기 시작했다. 동일한 문서 포맷 제공으로 생산성을 보장하고 잠재 위협을 예방하는 CDR가 지자체 컴플라이언스 대응 수요를 흡수하며 급성장했다.
또 다른 성장 배경은 기술 확장성에 있다. CDR는 이메일, 웹·파일 서버 등과 같이 파일이 유입되는 채널에 모두 적용할 수 있다. 기존 보안 솔루션 대체재가 아닌 보완재로 기존 솔루션들과 함께 운영할 수 있기 때문에 기업 간 협력이 용이하다. 실제 파트너십을 통해 신규 솔루션을 출시하거나 기능을 추가하는 등 CDR를 활용한 다양한 비즈니스가 탄생하면서 시장 성장 전반에 기여했다.
일본 CDR 시장 형성 과정을 돌이켜보면 국내 CDR 시장 성장성 역시 긍정 평가를 할 수 있다. 첫째 국내와 일본은 네트워크 운영 환경이 유사하다. 망 분리 환경에서 CDR 기술을 통해 내부망으로 유입되는 파일 안전성 확보가 가능하다. 이는 망 분리 지침 아래 보안성을 높여야 하는 국내 공공·금융권에서 수요 발생이 충분하다.
둘째 기존 솔루션과 연동해 보안 시너지를 만드는 측면에서 CDR뿐만 아니라 유관 보안 시장의 성장도 기대된다. 국내에서도 이메일, 웹서버, 망 연계 등 다양한 솔루션과 협력하는 시도가 이어지고 있다.
일본처럼 CDR 시장이 빠르게 성장하기 위해 필요한 것은 국가 지원 정책이다. 특히 정책과 규제에 민감한 보안 시장은 쉽게 움직이지 않기 때문에 국가 차원에서 구체화된 정책과 규제가 가장 시급하다.
일본 사례는 우리가 CDR 기술 학습에 필요한 시간을 단축하게 해 줬다. 이제 남은 것은 문서 기반 표적형 공격 경각심을 높여서 대응 수단을 고민하고 실제 적용하는 것이다.
이상준 지란지교시큐리티 신기술융합사업부 이사 sjunee@jiran.com