한국에서 HWP 파일이 주요 악성코드 전달 수단으로 악용됨에 따라, 이 포맷을 지원하는 '데이터 살균' 기술이 등장했다. 데이터 살균은 디지털 정보의 유해성을 탐지해 제거하는 개념이다. 글로벌 보안솔루션업체 옵스왓(Opswat)의 제품 '메타디펜더'가 HWP의 데이터 살균을 지원한다.
데이터 살균은 더 포괄적인 표현이다. 옵스왓 측 설명에 따르면 '콘텐츠 무장해제 및 재구성(CDR)'이라는 기술로 실행된다. CDR은 문서나 이미지 콘텐츠를 분해해 거기 포함된 악성코드나 해로운 공격툴을 제거하고 원래의 내용을 열람하게 해준다. 악성코드 문서는 주로 외부 이메일로 전달되는만큼, 메일 첨부문서를 수시 열람하는 환경에서 보안성을 높이는 데 유용할 듯하다.
사실 이 설명만 놓고 보면 데이터 살균이나 CDR이 대단히 새로운 아이디어는 아니다. 시스템의 파일을 감염시키는 악성코드는 과거에도 있었다. 이를 찾아 치료하고 오염된 파일을 정상으로 되돌리는 게 기존 안티바이러스 프로그램이 하는 일 가운데 하나였다. PC가 아니라 기업의 네트워크에서 메일서버 뒤편에 자리잡고 첨부파일 대상으로 이런 역할을 맡는 게 메타디펜더다.
국외업체 옵스왓이 어떻게 HWP 파일을 알고 이를 위한 CDR 기술을 개발해 지원하기로 결정했을까. 이 기술은 업무에 HWP 파일을 다루는 조직이 많은 한국 시장에서 확산할 수 있을까. 최근 옵스왓 메타디펜더 솔루션 파트너인 국내 디지털포렌식업체 인섹시큐리티를 통해 HWP 파일 지원이 결정된 배경과 한국 시장에 접근하는 방향성에 관해 들을 수 있었다.
■"멀티스캐닝으로 탐지-코어 엔진이 CDR 수행"
옵스왓의 메타디펜더는 CDR 기능을 수행하는 여러 보안솔루션 유형을 아우르는 브랜드다. 어떤 기기나 플랫폼에서 동작하느냐에 따라 메타디펜더클라우드, 메타디펜더이메일, 메타디펜더ICAP, 메타디펜더키오스크 등으로 세분화된다. 타사 보안솔루션에 연동돼 CDR 기능을 제공하는 API 형태로도 제공된다. 이런 기술의 핵심은 모든 솔루션의 공통 기반이 되는 '메타디펜더 엔진'이다.
메타디펜더는 유해성을 파악하기 위해 '멀티스캐닝'이라는 동작을 수행한 뒤, 세계적으로 통용되는 워드, 액셀, 파워포인트 등 오피스 문서와 어도비 PDF 파일, 그림판 비트맵 이미지 및 사진 이미지, 출력문서 이미지, 디지털카메라 원본사진 파일 등에 포함된 악성코드를 CDR 처리해 제거한다. 그리고 결과물을 사용자가 지정한 수십가지 형식으로 변환해 돌려준다.
옵스왓이 내건 메타디펜더의 장점은 이미 보안기술을 도입한 환경에 더 나은 보안을 제공한다는 걸로 요약된다. CDR 기술은 파일내 익스플로잇 콘텐츠를 모두 제거해 제로데이 공격을 비롯해 악성콘텐츠가 실행되지 않게 만든다. 위험도가 높은 파일에 여러 방식으로 살균 과정을 거친다. 기존 맬웨어 엔진의 탐지를 피한 표적 공격에 노출된 사용자의 안전도 확보된다는 설명이다.
다만 옵스왓의 메타디펜더가 눈길을 끄는 이유는 다른 게 아니라 CDR 처리 대상으로 HWP를 지원한다는 점이다. 글로벌 업체가 HWP처럼 비주류 파일 포맷을 공식 대응하는 것은 이례적이다. 널리 쓰이는 마이크로소프트(MS)오피스 워드(DOC)나 어도비 아크로뱃(PDF)을 지원하는 게 자연스럽다. 메타디펜더도 DOC나 PDF를 우선 지원하다가, 최근 지원 대상에 HWP를 추가한 사례다.
■ HWP 지원 배경 알고보니…"CTO가 한국 사람"
인섹시큐리티 측은 앞서 메타디펜더의 HWP 지원 소식을 밝힌 보도자료를 통해 "HWP 및 JTD 파일을 사용한 맬웨어 공격이 빈번하게 일어나고 있지만, 포맷 사용 지역이 한정적이고 공격 지역도 한국과 일본에 국한돼 시장성이 낮았다"면서도 "옵스왓이 멀티스캐닝 기술 완성도를 높이기 위해 HWP 및 JTD 파일 살균기능을 추가했다"고 설명했다.
메타디펜더 개발업체 옵스왓은 3년 전부터 HWP 파일을 지원해 달라는 한국 시장의 요청을 받고 있었다. 그러다 지난해 HWP 파일 지원이 결정됐다. 김종광 인섹시큐리티 대표는 옵스왓이 메타디펜더에 HWP 파일 지원을 결정한 배경을 다음과 같이 설명했다.
"작년에 일본 시장에 메타디펜더 솔루션이 대거 공급되면서, 일본에서 많이 쓰는 문서 포맷(JTD) 지원 추가가 결정됐다. 우리도 한국 시장에도 공공 쪽에 'HWP 지원하면 도입하겠다'는 고객이 많다고, HWP 지원 필요성을 강하게 전했다. 메타디펜더 기술 총괄하는 옵스왓 최고기술책임자(CTO)도 지원해야겠다는 뜻이 있었다. 그가 한국 분이라서…(결정에 도움이 된 것 같다)."
[☞고태일 옵스왓 CTO 블로그 포스팅: Preventing Targeted Attacks That Use JTD or HWP documents]
옵스왓 공식사이트 소개에 따르면, 고태일 옵스왓 CTO는 2008년 회사 R&D엔지니어링팀 소프트웨어 엔지니어로 입사했다. 2014년 메타디펜더 코어, 키오스크, 클라우드 개발팀을 리드하는 소프트웨어엔지니어링 디렉터로 승진했다. 고 CTO는 미국 샌프란시스코주립대학교에서 컴퓨터사이언스 전공을 마쳤다. 매년 2번 정도 한국에 온다고 인섹시큐리티 측은 언급했다.
■공공서 호응 기대…"국내 보안업체 API연동 논의중"
옵스왓의 메타디펜더 사업방식은 자체 메일필터 솔루션이나 산업용 키오스크 등으로 기업 및 공공조직에 제품을 공급하는 것, 타사 보안 제품에 악성 탐지 및 데이터살균 기술을 첨가하도록 보안솔루션 연동용 API를 제공하는 것, 2가지다. 한국에서도 2가지 사업 모델을 모두 수행할 것으로 보인다.
인섹시큐리티 측에 따르면 이미 메타디펜더의 보안솔루션 연동용 API가 F5네트웍스, 인텔시큐리티, 블루코트, 아라네트웍스 등의 제품에 들어갔다. 국내 보안솔루션업체 가운데 3곳 정도와 추가로 보안API 연동이 논의되고 있다. 지난해 국내 포털업체에 도입됐고 HWP 파일 CDR 지원이 실현되면서 국내 공공부문에 고객사도 확보됐다. 다른 공공 및 금융 쪽에서 PoC를 진행 중이다.
23일 현재 주요 메타디펜더 유형별 제품이 CDR 동작에 HWP 파일을 지원 중이다. 다만 일반 사용자들에게 무료로 제공되는 서비스 '메타디펜더클라우드'에서는 HWP 파일로 CDR 기능을 테스트해볼 수 없다. 인섹시큐리티 측은 "HWP 데이터살균 기술은 한국에서 특허를 신청할 예정"이라며 "클라우드에는 패턴등록을 하고 있어, 등록이 끝나면 제공할 것으로 예상한다"고 덧붙였다.
관련기사
- "근로계약서 위장 HWP 악성코드 유포"2017.03.23
- HWP 악성코드, 레퍼토리 다양해져2017.03.23
- "무료 웹서비스로 악성 문서파일 무장해제 OK"2017.03.23
- "군·북한·정치"…HWP 악성코드 단골소재2017.03.23
[☞관련기사: "무료 웹서비스로 악성 문서파일 무장해제 OK"]
옵스왓은 메타디펜더 솔루션에 3가지 개선을 예고했다. 첫째, HWP뿐아니라 다른 한컴오피스 스위트와 JTD 이외의 일본 현지 오피스 문서 파일 지원을 추가할 예정이다. 둘째, HWP 및 JTD 파일 CDR 과정에 익스플로잇 콘텐츠 우회 없이 유실되는 콘텐츠를 줄일 계획이다. 셋째, 데이터살균 지원 형식을 오토캐드, 스케치업과 같은 파일 포맷으로 확대하기로 했다.
