멘로 시큐리티, 기업에 손쉬운 AI 기반 데이터 보안 제공 위해 Votiro 인수
블로그 읽기
원격 및 하이브리드 인력 모델로 인해 새로운 공격 벡터를 열리면서 랜섬웨어가 기업들을 계속 괴롭히고 있습니다. 이제 대부분의 재해 복구 및 비즈니스 연속성 계획에 강력한 데이터 백업 전략이 포함되어 있으므로, 사이버 공격자는 데이터를 암호화하고 탈취하는 두 가지 방식을 결합한 랜섬웨어 공격을 사용합니다. 새로운 데이터 유출 모델의 등장으로 조직이 더욱 적극적인 데이터 보안 보호 조치를 취해야 할 필요성이 대두되었습니다.
파일 무해화가 무엇인지, 랜섬웨어 공격을 완화하는 데 어떻게 도움이 되는지, 그리고 추가 제어가 필요한 부분이 어디인지 이해하는 것이 환경 보호의 첫걸음이 될 수 있습니다.
파일 무해화는 파일 재구성, 콘텐츠 무해화, 콘텐츠 무장 해제, 파일 정제 등 다양한 이름으로 불립니다. 그러나 각각은 파일을 스캐닝하고, 활성 콘텐츠를 식별하고, 활성 코드를 제거하고, 잠재적으로 위험한 코드 없이 파일을 재생성함으로써 멀웨어 위협을 완화하는 유사한 과정을 나타냅니다.
파일 무해화를 떠올리는 한 가지 방법으로 파일을 편집하는 방식을 생각해 볼 수 있습니다. 예를 들어, 민감한 정보가 포함된 PDF를 다른 사람에게 보낼 때 이름, 주소, 생년월일 또는 주민등록번호와 같은 정보를 숨기기 위해 편집 도구를 사용할 수 있습니다.
파일 무해화 도구는 비슷한 작업을 수행하는데, 이를 파일 메타데이터 수준에서 수행하는 것입니다. 잠재적으로 위험한 코드를 숨기는 데 그치지 않고 완전히 제거합니다. 이 점은 어떤 도구를 선택하느냐에 따라 좋을 수도 있고 나쁠 수도 있습니다.
콘텐츠 무해화 과정을 나타내는 또 다른 용어는 CDR(콘텐츠 무장 해제 및 재구성)입니다. 파일 무해화 솔루션과 마찬가지로 CDR 공급업체마다 접근 방식이 다릅니다. 이 글에서는 CDR의 가장 고급 버전인 레벨 3에 중점을 두겠습니다. 명확성을 위해 콘텐츠 무장 해제 및 재구성의 다른 단계를 소개합니다.
파일 전환 또는 변환을 이용하여 파일을 안전하게 렌더링합니다. 레벨 1 CDR은 모든 파일을 PDF 파일 형식으로 변환하여 사용자가 링크를 클릭하거나 문서를 열 때 해커가 악성 코드를 활성화할 가능성을 제거합니다. 그러나 이렇게 하면 매크로와 같은 모든 중요한 기능이 없는 평면화된 문서가 생성되어, 파일이 사실상 사용할 수 없는 문서로 변환되고 생산성에 부정적인 영향을 미칩니다.
레벨 2 CDR은 레벨 1보다 개선된 것을 목표로 합니다. 이 방법은 각 파일의 안전을 보장하기 위해 내장된 객체나 잠재적인 활성 콘텐츠와 같은 특정 유형의 콘텐츠만 제거하는 데 중점을 둡니다. 그러나 파일은 여전히 링크, 필수 매크로 및 비즈니스 논리 같은 기능을 잃게 됩니다. 또한 잠재적으로 취약한 템플릿이 문서 내에 남아 있게 되어 조직이 공격에 취약해집니다.
가장 발전된 형태의 CDR은 레벨 3입니다. Menlo Security에서는 특허받은 Positive Selection® 기술을 사용하며, 이 기술은 템플릿 기반 재구성에 중점을 두어 모든 기능과 특징을 완전히 보존할 수 있도록 합니다. 레벨 3 CDR은 문서를 원래 의도된 대로 사용하도록 재구성하며, 알려진 양호한 요소와 긍정적으로 선택된 콘텐츠만 복사하고, 안전한 템플릿만 남도록 보장합니다. 따라서 비즈니스가 평소처럼 지속됩니다.
바이러스 백신 도구와 달리 CDR 기술은 멀웨어를 식별하기 위해 탐지하거나 파일을 스캔하지 않습니다. 대신, 콘텐츠 무장 해제 기술은 파일의 알려진 양호한 구성 요소를 깨끗한 파일 템플릿으로 재구성하여 멀웨어가 발견되지 않도록 합니다.
예를 들어, 일반적인 랜섬웨어 공격 방법을 생각해 보겠습니다. 사이버 범죄자는 소셜 엔지니어링 전술을 사용하여 최종 사용자에게 이메일을 보내 파일을 다운로드하거나 링크를 클릭하도록 유도한 다음, 이러한 행동을 이용하여 원하는 만큼의 멀웨어 유형을 설치합니다. 간단한 CDR 도구는 이메일 첨부 파일의 모든 활성 콘텐츠와 활성 콘텐츠가 포함된 모든 메타데이터를 제거할 수 있습니다. 반면 고급 CDR 도구는 동일한 파일을 스캔하고 정상 작동이 확인된 요소만 복제하여 새 버전의 파일에 악성 코드가 전달되지 않도록 하면서 활성 콘텐츠를 안전하게 사용 가능한 상태로 유지할 수 있습니다.
활성 콘텐츠는 다음과 같습니다.
거의 모든 파일에는 메타데이터가 포함되어 있습니다. 메타데이터는 세 가지 유형이 있습니다.
메타데이터는 디지털 자산에 코딩되어 있기 때문에 많은 사용자들은 그 존재를 모릅니다. 예를 들어, Excel 스프레드시트로 작업한 경험이 있다면 매크로 기능을 사용한 적이 있을 것입니다. 이러한 매크로는 키 입력과 마우스 클릭을 기록하여 매번 처음부터 다시 시작하지 않고도 프로세스를 반복할 수 있습니다. 매크로를 생성할 때마다 기본적인 코딩을 사용한 것입니다.
악성 소프트웨어도 같은 방식으로 작동합니다. 사이버 범죄자들은 다운로드 가능한 파일에 악성 코드를 숨겨두는데, 이 코드는 사용자가 문서를 열 때 실행될 수 있습니다. 즉, 이 코드가 숨겨질 수 있는 모두 메타데이터는 위험하다는 의미입니다.
기존의 바이러스 백신 도구는 알려진 바이러스 코드 데이터베이스를 구축하고 파일 코드를 이 데이터베이스와 비교하는 방식으로 작동합니다. 문제는 가장 진보된 인공지능(AI) 도구도 추측하는 데 한계가 있다는 점입니다. 파일 무해화가 탐지 기반 솔루션과 다른 이유를 좀 더 자세히 살펴보겠습니다.
악성 코드 탐지를 기반으로 하는 바이러스 백신 보호에는 몇 가지 한계가 있습니다. 첫째, AI가 컴퓨터 바이러스 돌연변이를 효과적으로 예측하려면 엄청나게 큰 데이터 세트가 필요합니다. 머신러닝(ML) 알고리즘은 최대한 많은 데이터를 수집할 수 있을 때만 효과적입니다. 그러나 이렇게 많은 데이터를 수집하고 적절하게 라벨링하는 것은 어려울 수 있습니다. 탐지 기반 AI/ML이 제대로 작동하려면 해당 도구가 정보를 수집하고 모니터링하는 방식을 이해해야 합니다.
둘째, AI가 얼마나 많은 데이터를 수집하고 분석하든 악성 행위자는 항상 한발 앞서 나갑니다. AI/ML 탐지 기반 도구는 예측 기능을 제공하지만 사이버 범죄자처럼 생각할 수는 없습니다. 이러한 도구는 과거를 토대로 미래를 예측할 수 있을 뿐입니다. 사이버 범죄자처럼 창의적으로 사고할 수는 없습니다. 그러나 생성형 AI 도구의 등장으로 이것이 항상 사실인 것만은 아닙니다.
파일 무해화 기능을 이용하면 예측 분석이 실패할 것이라는 걱정을 할 필요가 없습니다. 파일 무해화는 특정 지표를 찾지 않고 파일에 포함된 모든 위험한 요소를 제거하기 때문입니다. 그래서 AV만으로는 숨겨진 익스플로잇을 탐지하는 데 며칠, 몇 주, 몇 달, 심지어 몇 년이 걸릴 수 있지만, CDR은 제로데이에 멀웨어를 차단합니다.
파일 무해화는 알려진 변종이든 완전히 새로운 것이든 모든 멀웨어를 배제합니다. 이 솔루션은 안전한 요소만으로 파일을 재구성하여 위험 없이 필요한 모든 정보를 얻을 수 있도록 합니다. 사이버 범죄자가 랜섬웨어 전달용으로 이용한 파일을 직원이 실수로 다운로드하더라도, 악성 코드가 제거되었으므로 걱정할 필요가 없습니다.
Menlo의 Positive Selection® 기술은 지속적이고 선제적인 위협 예방을 제공합니다. Menlo는 새롭고 혁신적인 멀웨어가 누락될 수 있는 구식 데이터베이스를 이용하지 않은 채, 사이버 범죄자가 무기화할 수 있는 모든 파일 요소를 제거합니다. 사이버 범죄자들이 새로 만들어내는 피싱 공격에 대해 걱정할 필요 없이, 멀웨어나 랜섬웨어 변종이 생성되어도 모든 파일이 그로부터 자유롭다는 사실을 신뢰하며 안심할 수 있습니다. 무엇보다도, Menlo는 사용자가 파일을 받기 전에 파일이 이동 중일 때 실시간으로 무해화합니다.
Menlo Security를 사용하면 파일의 악성 요소가 아닌 부분만 보존되므로 보안팀은 바이러스 백신이 생성하는 거짓 양성을 더 이상 걱정할 필요가 없습니다. 파일 무해화는 파일에서 잠재적인 숨겨진 위협을 모두 제거하므로, 경보 피로를 줄이고 보안 팀이 다른 위협 벡터에 중점을 둘 수 있습니다.
Menlo 솔루션을 시작하는 방법에 대해 자세히 알아보려면 지금 바로 데모를 예약하세요!
Menlo Security
