18일 <바이라인네트워크>가 주최한 ‘사이버보안 기술 전략 컨퍼런스 2026’에서 발표하는 이상준 지란지교시큐리티 CTO (출처=바이라인네트워크)
|

지란지교시큐리티 “CDR은 콘텐츠 차원의 제로트러스트”

By성아인

AI로 정교해진 문서 속 악성코드와 공급망 위협이 늘어나는 가운데, 악성 여부를 판단하지 않고 문서 내부의 액티브 콘텐츠를 전수 제거·재조립하는 CDR(Content Disarm and Reconstruction)이 주목받고 있다.

<바이라인네트워크>가 지난 18일 서울 송파구 잠실 롯데호텔 3층 크리스탈볼룸에서 개최한 ‘사이버보안 기술 전략 컨퍼런스’에서 이상준 지란지교시큐리티 CTO는 CDR을 “콘텐츠 차원의 제로트러스트”라고 정의하며, 보안의 출발점을 감염 이후가 아니라 공격 분석과 유입 단계로 앞당기는 ‘시프트 레프트(Shift Left)’ 전략으로 기능할 수 있다고 밝혔다.

이 CTO는 최신 사이버 공격 트렌드로 유형 다각화와 AI를 활용한 전통적 위협의 발전을 꼽았다. 그는 “공급망 위협이 눈에 띄게 늘어나고 있는 가운데, 문서파일의 악성코드를 통해 들어가는 경우도 많다”며 현존하는 탐지 기술로 알려지지 않은 악성코드 또한 전체의 40% 이상에 달할 만큼 늘어나고 있다고 짚었다.

이어 “처음에는 사회공학적으로 분석하는 단계에서 AI를 활용하고, 문서형 악성코드를 실행해 PC를 장악한 후 내부 네트워크나 서버에 접근하는 전형적인 방법을 활용한다”며, 사이버 공격에서의 AI 활용 또한 발전하고 있다고 설명했다. 실제로 지란지교시큐리티가 실험한 결과, 2년 전에 비해 AI가 만든 피싱 메일의 침투율도 높아지고 있는 상황이다.

이 CTO는 이 같은 상황에 대처하기 위한 답으로 양성과 악성을 구분하지 않는 CDR을 꼽았다.

그는 “백신 경우 악성코드를 판단하는 시그니처가 있어야 하는데, 이 때 양성으로 판단된 빈 영역이 생길 수 있다”며 “CDR은 매크로, 스크립트 등을 다 포함해 문서 내부의 액티브 콘텐츠를 모두 전수 삭제하고 사람의 눈에 보이는 내용을 이전과 똑같이 보이게 재조합한다”고 말했다.

특히 CDR이 ▲악성 여부와 무관하게 액티브 콘텐츠를 전수 삭제하고 ▲발신자와 유입 경로의 신뢰도와 무관하게 전수 처리하며 ▲사용자 단말에 저장되기 전에 전수 처리한다는 세 가지 특성 때문에 제로트러스트와 맞닿아 있다고 분석이다. 또 일반적인 제로트러스트가 시스템 감염에서 출발하는 데 반해, CDR은 공격자가 타깃을 분석하고 첨부파일을 실행하는 단계에 개입해 보안 시작점을 앞단으로 당기는 ‘시프트레프트’라고 강조했다.

지란지교시큐리티의 CDR 도입 방법론은 백신과 CDR을 함께 도입하는 방식이다. 백신이 악성코드를 판단하는 속도가 빠른 반면, CDR은 액티브 콘텐츠를 제거한 후 내용물을 재조립하기 때문에 상대적으로 느리다. 이 때문에 백신이 악성이라고 판단한 파일은 CDR을 하지 않고, 양성이라고 판단한 경우 CDR을 거치는 구조를 만들었다.

특히 이 CTO는 이 방식이 “효과적인 제로데이가 가능하다”고 힘줘 말했다. 먼저 악성 파일이 CDR의 처리 내역에 포함되는 경우는 백신이 이를 탐지하지 못한 것이기 때문에, 역추적하면 백신이 놓친 제로데이를 CDR이 사후에 감지한 셈이 된다.

또 그는 이 범위를 넓히면 효과가 더 커진다고 강조했다. 클라우드 서비스 경우 여러 지점에서 제품을 설치하기 때문에, 악성코드를 전수 조사할 경우, 악성으로 판단되기 전 이미 유통된 악성 파일의 우치까지 확인할 수 있다. 이 과정을 SOC·SIEM에서 자동화한다면 제로데이에 효과적으로 대응할 수 있다는 설명이다.

이 CTO는 액티브 콘텐츠 기반 위험 분석의 중요성도 언급했다. 원본 파일이 서로 다른데 무해화 과정에서 확인한 액티브 콘텐츠가 기존 악성 파일의 것과 같다면, 그 파일의 악성코드를 백신이 잡아내지 못했다는 의미이기 때문이다. 이를 다시 백신에 반영해 탐지력을 높일 수 있다.

또 그는 액티브 콘텐츠를 기준으로 위험도 분석도 가능하며, 유사한 경로로 동시다발적으로 들어오는 액티브 콘텐츠는 악성일 가능성이 높아 별도 대응이 필요하다고 분석했다.

지란지교시큐리티는 악성파일 분석 플랫폼에서 머신러닝과 XAI(설명가능한 AI)를 더해 실시간 통합 탐지를 수행하고, CDR 이전 단계에서 선제적으로 탐지하는 방식도 함꼐 활용한다. 백신 또한 멀티 백신으로 운용하며, 머신러닝·XAI·CDR·위험 분석·성과 분석·위험 가시화를 묶은 다단계 악성코드 탐지 체계로 발전하고 있다.

한편, 이 CTO는 최근 들어 국내에서 CDR을 소프트웨어 개발 키트(SDK)처럼 번들로 넣어달라는 요청도 늘어났다며, 최신 고객사 동향을 설명했다. 특히 메일 보안 장비와 망 연계, 공공기간과 금융권 웹서버, 공공 민원 포털 등의 사례가 있다고 사례를 들었다.

바이라인네트워크
<성아인 기자> aing8@byline.network

일간 바이라인 구독하기

아인

사고 파는 모든 걸 좋아합니다. 잘 듣고, 잘 쓰겠습니다. 플랫폼·포털·유통 채널을 맡고 있습니다.

aing8@byline.network

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.

[무료 웨비나] IdentityTV 2026: 아이덴티티 보안의 미래를 지금 확인하세요.

일시 : 2026년 7월 9일 (목) 14:00 ~ 15:40