CDR
: Content Disarm and Reconstruction
CDR은 모든 입력 파일과 데이터 스트림을 구성 요소 단위로 분해하고, 안전 기준을 만족하지 않는 요소를 제거한 뒤 원본과 유사한 형태로 재구성하며, 모든 파일을 잠재적 위협으로 간주하는 Zero Trust 원칙을 적용하는 기술
- 악성콘텐츠 제거: Disarm
- 안전한 요소 재구성: Reconstruction
CDR의 3가지 Type
CDR도 시간이 지남에 따라 기능이 발전함
Type 1: 파일 평면화 (Flattening / Disarm)
악성 파일 비활성화를 위해 모든 내용 평면화
- PPT 비유: 슬라이드를 그림으로 저장 → 편집, 애니메이션, 링크 등 모든 기능 불가
- CDR 적용 결과: 안전하지만 작동하지 않는 PDF 생성
특징
- 모든 파일 PDF 변환
- 악성 코드 활성화 가능성 제거
- 합법적 매크로, 추적 변경 사항, 레이어 손실
- 사용성 저하 → 조직 생산성 저하 가능
Type 2: 활성 콘텐츠 제거 (Active Content Removal / Sanitization)
원본 형식 유지, 악성 코드 및 활성 콘텐츠만 제거
- PPT 비유: 슬라이드 구조 유지 → 애니메이션, 링크 일부 손실 / 글과 그림 유지
- CDR 적용 결과: 일부 기능 손실, 안전하지 않은 콘텐츠 제거
특징
- 문서 기능 일부 유지, 활성 콘텐츠 제거
- 필수 매크로, 링크, 비즈니스 로직 손실
- 보안 강화, 기본 템플릿 취약점 존재
Type 3: Positive Selection Technology ⭐
파일 유용성 유지, 악성 코드만 제거
- PPT 비유: 안전한 요소만 선별 재구성 → 대부분 기능 그대로 사용 가능
- CDR 적용 결과: 모든 기능 유지, 안전한 템플릿 기반 복사본 생성
특징
- 템플릿 기반 재구성
- 정상 콘텐츠만 복사, 위험 요소 제거
- 원본 기능 완전히 보존
Menlo의 CDR(Votiro)은 Type 3에 해당함
Votiro의 CDR 특징
- Positive Selection Technology: 원본 구조 유지, 안전한 요소만 복사·재구성
- 탐지 기반 파일 솔루션과 달리 각 파일의 안전한 요소만 골라 100% 안전 보장
CDR 유형별 비교
| 항목 | CDR Type 1 | CDR Type 2 | CDR Type 3 |
|---|---|---|---|
| 사용자 경험 & 사용성 | PDF로 변환, 편집/기능 불가 | 문서 형식 유지, 일부 기능 손실 | 원본 기능 유지, 악성 요소만 제거 |
| 암호화 & ZIP 파일 | 처리 불가 | 처리 불가 | 안전하게 처리 가능 |
| 파일 차단 | 알려진 위협만 차단 | 알려진 위협만 차단 | 차단 없음, 모든 파일 안전 처리 |
| 템플릿 처리 | 원본의 잠재적 악성 템플릿 유지 | 동일 | 안전한 템플릿으로 재구성 |
| 활성 콘텐츠 처리 | 평면화 | 모든 활성 콘텐츠 제거 | 활성 콘텐츠 유지, 악성 요소 제거 |
| 오탐 비율 | 높음 | 높음 | 0% |
| 유지보수 | 필요, 추가 관리 필요 | 필요, 추가 관리 필요 | 불필요, 플러그 앤 플레이 |
| 지연 (Latency) | 수 초 ~ 수 분 | 수 초 ~ 수 분 | 밀리초 단위 |
Positive Selection 작동 원리
1단계: Identity the File Format (파일 형식 식별)
이 단계에서는 파일이 어떤 형식이고, 내부 구조가 어떻게 되어 있는지 정확히 알아내는 과정
파일 형식 중요성
- 모든 파일은 고유 규칙과 사양 따름
(각 파일 형식은 고유 구조와 데이터 배치 방식, 메타데이터 규칙이 있음) - 고유의 구조 벗어나면 프로그램이 파일을 정상적으로 읽지 못하거나 보안 위험이 발생할 수 있음
Positive Selection 기술에서의 처리 방식
-
지능형 지문(Fingerprinting) 방식 사용
-
파일 내부 구조, 데이터 블록 순서, 메타데이터, 포한됨 객체 등의 특징을 분석
→ 파일 형식과 콘텐츠 유형을 정확히 식별 -
단순 확장자 확인 아닌 파일의 실제 내용과 구조를 확인하여 안전하게 처리할 수 있는 기반을 마련
2단계: Generate a New Version of the File (새 파일 생성)
이 단계에서는 "악성 요소는 제거하고 안전한 요소는 유지하는" 단계로 파일을 재작성하면서 안전성을 확보함
원본 파일에는 사용자에게 필요한 정상 콘텐츠 뿐만 아니라 악성 매크로나 스크립트, 숨겨진 공격 코드가 포함될 수 있으므로 파일을 그대로도 사용하는 것은 매우 위험함
- 과정
- 깨끗한 템플릿 생성
파일 공급 업체에서 제공하는 "안전한 원본 템플릿"을 기반으로 새 파일을 만듦- ex: Word → 빈 문서, Excel → 표준 워크북
- ex: Word → 빈 문서, Excel → 표준 워크북
- 원본에서 안전한 내용만 가져오기
원본 파일에서 정상적인 내용(텍스트, 이미지, 차트)만 새 파일로 복사- 악성 매크로, 스크립트, OLE 객체 등 공격 가능 요소는 제외
- 악성 매크로, 스크립트, OLE 객체 등 공격 가능 요소는 제외
- 활성 요소 재생성
필요한 매크로나 스크립트, OLE 객체 등은 안전하게 재구성하고 사용가능한 상태로 새 파이렝 포함- 기존 악용 가능성을 제거
- 기존 악용 가능성을 제거
- 사용자 경험 유지
파일의 형식, 레이아웃, 기능은 원본과 동일하게 유지- 새 파일 생성 과정은 1초 미만, 사용자에게 보이지 않음
- 깨끗한 템플릿 생성
3단계: Use the New File (새 파일 사용)
최종적으로 안전하고 기능이 유지된 새 파일을 사용자에게 제공함
결과
- 모든 악성 코드와 공격 위협 제거
- 안전한 요소 새 파일로 안전 이전
- 원본과 동일한 기능과 형식 유지
사용 가능 상태
- 저장, 편집, 공유, 활용 모두 안전
- 파일 보안과 사용자 경험 모두 확보
Positive Selection 특징
취약점 보호
Positive Selection 기술은 소프트웨어 취약점의 전체 수명 주기
알려지지 않은 취약점 → 제로데이 → 패치단계에서 발생할 수 있는 파일 기반 취약점 공격을 차단함
1단계 알려지지 않은 취약점 (Undisclosed)
공급 업체나 보안 커뮤니티가 알지 못하는 취약점도 공격자가 악용할 수 있음
Positive Selection은 허용된 안전한 요소만 파일에서 추출 및 재구성 하므로, 취약점의 존재 여부와 상관없이 악성 코드 실행을 차단함
2단계 제로데이 (Zero-Day)
취약점이 발견되고난 후 패치가 존재하지 않고 시그니처 기반 탐지로도 막기 어려운 시점으로 Positive Selection은 탐지에 의존하지 않고 "허용된 무해 요소만 통과" 시키는 방식이므로 제로데이 취약점을 효과적으로 차단함
3단계 패치 (Patched)
패치가 배포되었어도, 미적용 환경에서는 여전히 공격이 가능함
Positive Selection은 최신 패치 적용 여부와 무관하게 파일 재구성 과정을 거치므로, 패치 관리 공백에서 발생하는 위험도 줄여줌
결론적으로 Positive Selection은 취약점이 공개되었는지 여부나 패치 상태와 무관하게, 파일 기반 익스플로잇 공격으로부터 조직을 보호하는 기술
지원 파일 형식
Positive Selection은 문서, 아카이브, 이메일, 오피스, 이미지 등 다양한 파일 형식을 안전하게 처리함
-
암호로 보호된 파일
: 비밀번호가 걸린 파일도 기술적인 도움 없이 안전하게 정리 할 수 있음 -
압축 파일
: ZIP, RAR, 7Z, CAB 등 아카이브와 내부 파일 모두 재귀적으로 분석 후 안전하게 재압축 -
문서 파일
: PDF, RTF, 텍스트 등 문서를 개별 요소로 분해하여 신뢰할 수 있는 요소만 전달 -
이메일 컨테이너
: EML, MSG, PST 지원, 이메일 서버와 연동하여 첨부파일 안전 전달 -
Microsoft Office 파일
: Word, Excel, PowerPoint 등 포함 객체(OLE, 이미지 등)까지 세부 요소 분석 후 안전 전달 -
이미지 파일
: JPEG, GIF, BMP, PNG, TIFF, EMF, WMF 등 래스터·벡터 이미지에서 악성 콘텐츠 제거
장점 및 이점
단순히 파일을 안전하게 만드는 것을 넘어, 조직 전체의 보안과 업무 효율성을 동이세 개선할 수 있음
- 모든 공격 경로 차단
: 다양한 소스와 방법으로 들어오는 악성 파일과 멀웨어 및 제로데이 위협을 막음 - 업무 흐름 유지
: 백그라운드에서 자동으로 실행되어, 직원들이 파일을 여는 데 지장을 주지 않음 - 사람 의존 최소화
: 보안 규정 준수나 IT 지원에 의존하지 않고 자동으로 안전하게 처리함 - 파일 그대로 전달
: 원본 파일의 기능과 내용을 그대로 유지하면서 위험만 제거함 - 빠른 통합과 실행
: SaaS는 10분, On-prem은 1시간 미만으로 설치 가능, 별도의 교육도 필요 없음 - 자동화와 편의성
: 파일 차단·격리 과정 없이 안전하게 바로 전달하여 보안 팀의 수동 작업 부담이 감소함 - 유연한 정책 적용
: 덜 제한적인 인터넷 환경에서도 안전하게 콘텐츠 접근이 가능함
