비즈니스 문서로 위장한 악성코드 대응 시스템 설계 및 구현 방안

Design and Implementation of Malware Response System Disguised as Business Documents

2019년 전세계적으로 COVID-19가 급속히 확산되면서 비즈니스 환경은 재택근무, 비대면 업무로 변화하였고 이에 따라 업무에 문서, 이메일 이용이 증가하였으며 문서를 위장한 악성코드 유입이 급증하였다. 과거 랜섬웨어공격은 실행 파일 위주의형태가 많았으나 최근에는 문서 내부에 악성 매크로 등을 삽입하는 형태로 변화하였다. 이와 같이 정상 문서의 기능을 악용하는 제로데이 공격은 악성 파일과 정상 파일의 경계를 모호하게 하며 안티바이러스와 샌드박스를 우회한다. 이러한 공격을 대응하기 위해 모든 파일을 신뢰하지 않고 검증하는 제로 트러스트 패러다임이 주목받고있다. 본 연구는 비즈니스 문서 위장 공격에 대응하기 위해 제로 트러스트 관점을가장 잘 구현한 보안 기술인 콘텐츠 악성코드 무해화(CDR) 기술을 소개하고 CDR을기업의 다양한 환경(온프레미스, 클라우드)에 따라 효과적으로 구성할 수 있는 방안을 소개한다.

With the rapid spread of COVID-19 worldwide since 2019, the corporate work environment has shifted from office work to telecommuting and non-face-to-face work. As a result, work using documents and e-mails increased, and as a result, the inflow of malicious codes disguised as documents increased rapidly. In the past, there were many attacks using executable files, but recently, it has changed to a form of inserting malicious macros into documents. A zero-day attack that exploits the function of a normal document like this blurs the boundary between a malicious file and a normal file, and bypasses antivirus and sandbox. In order to protect against such attacks, the zero-trust paradigm, which verifies and trusts all documents, is attracting attention. This study introduces content malware detoxification (CDR) technology, which is a security technology that best implements a zero-trust perspective in order to respond to business document spoofing attacks. And how to effectively configure CDR in various environments (on-premises, SaaS) will be introduced.