콘텐츠 보안
심층 분석
문서 파일 위협의 기술과 실무를 1차 자료로 해부하는 30편. CVE · 기관명 · 공식 통계만 인용한다. 마케팅 문구 없이 근거로만 쓴다.
- 30편 활성 포스트
- 11토픽 키워드 필터
- 100% 1차 자료 인용
N2SF CDR 매핑 가이드 / 260개 통제항목 체크리스트
국정원 N2SF 1.0의 260개 통제항목 중 CDR이 직접 담당하는 영역을 매핑했다. 민감등급 문서 반입 통제, 망간 파일 전송, 3등급 분류까지 공공기관 정보보호 담당자가 실제로 쓸 체크리스트.
CDR vs 샌드박스 vs AV / 2026 3자 비교 매트릭스
파일 보안 기법 3가지를 한 표에 올렸다. 탐지율·회피 내성·처리 속도·운영 비용·제로데이 대응까지 12개 기준으로 비교. 어떤 조직에 어떤 조합이 맞는지, 실제 구매 현장에서 쓰는 기준으로 정리한다.
탐지를 전제로 한 보안의 한계, / CDR은 판정하지 않는다
CDR(Content Disarm and Reconstruction)은 "악성인지 판단하는" 보안이 아니다. 탐지 패러다임의 구조적 한계, CDR의 3단계 원리, 리버스엔지니어링 분석과의 조합, 공공·금융·엔터프라이즈 적용 현황을 공식 자료와 공개 출처에 근거해 정리한다.
MARS 엔진 — 리버스 엔지니어링 기반 비실행형 파일 분석의 원리
판정하지 않고 분해한다. IDA Pro(1991) · Ghidra(NSA, 2019) · Stuxnet Dossier(Symantec, 2011)로 확립된 리버스 엔지니어링 전통 위에서 MARS가 동작한다. 파일당 34ms · 309 포맷 · KISA 100% · TTA 12.027초의 근거를 1차 자료로 해부한다.
파일 무해화(Disarm) 원리 — OOXML·HWP·PDF byte 단위 분해부터 재조립까지
판정이 아니라 분해다. ISO/IEC 29500 OOXML의 vbaProject.bin, ISO 32000 PDF의 /JavaScript·/OpenAction, HWP 5.0 OLE 복합 문서, HWPX ZIP의 BinData까지 — CDR이 309종 포맷을 어떤 규칙으로 분해하고 무엇을 제거한 뒤 어떻게 재조립하는지 스펙 수준에서 정리한다.
CDS vs CDR — 망분리·N2SF 시대의 경계 통제와 콘텐츠 무해화 완전 비교
같은 "파일 이동" 보안처럼 보이지만 CDS는 경계·채널, CDR은 콘텐츠 계층이다. NSA Raise-the-Bar부터 NCDSMO 분류, 한국 망분리 13년 연혁, N2SF 3등급 C/S/O, 전자금융감독규정 166 행위규범까지.
N2SF S(Sensitive) 등급 완전 해부 — 2026.5 시행 D-day, 공공부처 민감정보 보호와 CDR 필수 요건
국정원이 2025년 9월 공표하고 2026년 5월 시행되는 N2SF의 Critical/Sensitive/Open 3등급 중 S등급은 "반입 금지가 아니라 조건부 허용"이기에 가장 까다롭다. Kimsuky 공공부처 공격, FedRAMP/UK/EU 비교, 전환 로드맵을 정리.
금융 망분리 완화 — 전자금융감독규정 293→166 행위규범 개편과 CDR의 필수 역할
2024년 8월 전자금융감독규정 개정으로 클라우드·SaaS 사용이 풀렸고, 2026년 행위규범은 293개에서 166개로 재편됐다. Qilin 19개 자산운용사 공격, 미래에셋 110억·한투 167억 사고가 드러낸 구조적 공백을 정리.
N2SF 3등급 분류 C·S·O 완전 해부 — 2026.5 시행 대응 가이드
C(Classified)·S(Sensitive)·O(Open) 3등급 체계를 1차 자료로 해부한다. 정의·요구사항·데이터 흐름 통제·CDR 차등 적용·기관 매핑·FIPS 199·GSC·NATO 비교, 전환 로드맵 2025-2028까지.
HWP 문서 기반 APT 공격의 실태 — Kimsuky·APT37 심층 분석
한국 타겟 APT 그룹이 왜 한글 문서를 공격 벡터로 삼는가. 2022-2025 공개 실제 사례, OLE·LNK·MSC·DLL 사이드로딩 기법의 진화, HWPX 제로데이, 조직이 바로 적용할 방어 설계까지.
HWP/HWPX 제로데이 2020-2026 연표 — CVE-2025-29867 Hancom 全라인부터 Operation Artemis까지
CVE-2015-6585 FireEye 최초 보고부터 2026.2 CVE-2025-29867 Hancom 全라인 타입 혼동까지. Operation Artemis DLL 사이드로딩, Kimsuky HWPX+JSE NUKESPED, ToyBox Story의 파일리스 RoKRAT.
Kimsuky(APT43) HWP+LNK 연쇄 공격 — 한국 공공·안보 표적 TTP 완전 해부
30년째 지속되는 북한 APT Kimsuky(=APT43)의 한국 특화 HWP+LNK 연쇄 공격. CISA AA20-301A, Mandiant APT43, 국정원·NSA 공동 가이드, ASEC/Genians 관찰을 근거로 Spearphish→HWP→LNK→PowerShell→C2 전 체인을 해부한다.
공급망 공격 & 코드서명 인증서 탈취 — SolarWinds·3CX·XZ Utils부터 아람CA·WIZVERA까지
SolarWinds SUNBURST, 3CX 이중 공급망, XZ Utils Jia Tan 백도어, NotPetya M.E.Doc, 아람CA·SKT 코드서명 탈취, WIZVERA VeraPort까지. NIST SSDF·SBOM·Sigstore·SLSA 정책 체계, CDR의 파일 내부 구조 검증 원리를 정리.
제로데이 문서 공격 방어 — 패치 전에도 유효한 구조적 차단 원리
Stuxnet 4-zeroday부터 CVE-2017-11882, Follina, CVE-2023-36884 Storm-0978, CVE-2024-38178 RokRAT, CVE-2025-29867 Hancom 全라인까지. Google Project Zero · Mandiant M-Trends 기반으로 "패치 전에도 막을 수 있는가"의 구조적 답.
샌드박스 회피 5대 카테고리 — 환경 핑거프린팅부터 LotL 파일리스까지
MITRE ATT&CK T1497 전 하위기법, Emotet·TrickBot·Ursnif·RoKRAT·BabyShark의 실제 회피 코드, CrowdStrike 79% malware-free 통계까지. 탐지 기반 방어가 문서형 악성코드에 실패하는 구조적 이유.
309종 포맷 커버리지 완전 분해 — 37 family × variant 카탈로그와 CDR 방어 원리
SLCDR이 지원하는 309종 파일 포맷을 37개 family 단위로 분해. OOXML·HWPX·PDF·RTF·이미지·아카이브·스크립트·CAD·이메일별 공격 벡터와 CDR 무해화 원칙을 ISO·RFC·MS·KS 표준 기반으로 정리.
OLE·DDE 공격 35년 연대기 — 1987년 Windows 2.0부터 2026 APT 재활용까지
1987년 Windows 2.0에서 태어난 DDE, 1990년 OLE. 35년 넘게 Office·한컴·레거시 윈도우를 관통한 이 정상 기능들이 Sandworm·Locky·APT10·Kimsuky·APT37의 공격 벡터로 재활용된 역사를 1차 자료로 해부한다.
매크로 악성코드 30년 진화 1992-2026 — Concept·Melissa·Emotet·XLM 부활·포스트매크로까지
1992 Excel XLM 4.0부터 1995 Concept, 1999 Melissa, 2014 Emotet, 2020 XLM 부활, 2022 Microsoft 기본 차단, 2023 OneNote, 2024 GrimResource MSC까지. 30년 매크로 악성코드의 진화와 CDR 방어 원리.
2026 전자금융기반시설 평가기준 869개 — 15개 분야·73개 클라우드 신설 완전 해부
금융보안원이 2026.2.13 발표한 취약점 평가기준이 789→869개로 확대(+9.2%). 클라우드 관리체계 신설(73개), WAS·가상자산 별도 축, 293→166 행위규범 재편, CISO 이사회 보고, RED IRIS 모의해킹팀 확대까지.
금융권 클라우드 전환과 CDR — 2026 평가 869항목 · 신설 클라우드 관리체계 73항목 대응
2026 금융 IT·보안 평가체계 869항목과 신설 클라우드 관리체계 73항목. 전자금융감독규정 2024.8 개정, CSAP 등급화, FFIEC·EBA·MAS·BCBS 239, Qilin 19개 공격, EchoLeak M365 Copilot 취약점까지.
증권사 망연계 파일 보안 실무 — 미래에셋 110억·Qilin 19사·한투 167억
미래에셋증권 110억원 해킹 소송, Qilin 랜섬웨어 자산운용사 19곳 연쇄 침해, 한국투자증권 167억원 정보보호 투자, 2024.9.15 개정 전자금융감독규정 293→166 재편까지. 시큐레터 증권 4사 수주 사례와 함께.
KISA 100% 악성코드 탐지율 인증 — 시큐레터 2019 국내 최초 · TTA 43.28초 · 해석 완전 가이드
시큐레터 MARS 2019년 국내 최초 악성파일 탐지율 100% 달성, TTA GS 43.28초 진단 속도, CC 인증, 조달청 가점. "100%" 수치의 실무적 의미와 국제 인증(AV-TEST·Gartner)과의 차이를 중립적으로 정리.
CDR TCO 계산 가이드 — 3년 TCO 분해와 ROI 산정 (공개 벤치마크 기반)
라이선스만 보면 TCO의 절반도 못 본다. IBM Cost of a Data Breach 2025, Verizon DBIR 2025, Sophos State of Ransomware 2024, 나라장터 공개 RFP를 근거로 7대 TCO 구성요소와 3년 ROI를 투명 가정으로 재구성.
AI 모델 내재형 멀웨어(MEM) 대응 — Hugging Face 100개 발견부터 EU AI Act까지
2024년 Hugging Face에서 발견된 악성 AI 모델 100개부터 2026 EU AI Act 발효까지. Model-embedded Malware(MEM)의 메커니즘, 실제 사례, CVE, 방어 도구, 한국 기업 보안 간극을 공개 자료 기반으로 심층 정리.
스피어피싱 첨부파일 방어 — 이메일이 여전히 진입 벡터 1위인 이유와 CDR 대응
Verizon DBIR · Mandiant M-Trends · IBM X-Force · FBI IC3 · KISA 1차 자료로 본 이메일 스피어피싱의 현재. APT29·APT43·APT37·FIN7·TA505 실제 캠페인, ClickFix·Quishing, DMARC/SPF/DKIM, CDR 파이프라인.
랜섬웨어 문서 진입 벡터 — 2024-2026 주요 그룹 TTP와 초기 접근 차단
LockBit Operation Cronos 테이크다운, Black Basta AA24-131A, Change Healthcare 22억 달러 손실, Qilin 한국 자산운용사 19개 동시 공격. FBI/CISA StopRansomware와 Sophos State of Ransomware 2025 기반 초기 접근 차단.
콘텐츠 보안 카테고리 — Gartner 2025 Market Guide · 시장 876M USD · Menlo-Votiro 인수까지
Gartner 2025 Market Guide for CDR, 2030년 글로벌 시장 876M~1,019M USD 전망, Check Point-Avanan 300M 인수, Menlo-Votiro 2025 인수, 한국 N2SF 공식 명시, 싱가포르 GovTech 도입까지.
문서 보안 RFP 작성 가이드 — 공공·금융 실무자를 위한 기능 요구사항 템플릿 (95항목)
나라장터 공개 RFP 사례, CC EAL·CSAP·KISA·TTA 인증 매핑, Gartner Market Guide 평가 기준. 기능 50·성능 15·인증 10·호환 10·SLA 10의 카피 가능한 템플릿과 공공 vs 금융 가중치 차이.
CDR 배포 아키텍처 — On-Prem·Hybrid·SaaS 3모델과 SMTP·ICAP·FTG·API·Browser 통합 지점 설계
온프레미스·하이브리드·SaaS 3대 배포 모델과 5종 통합 지점(SMTP/ICAP/FTG/API/Browser) 전수 비교. NIST SP 800-207 Zero Trust, RFC 3507 ICAP, N2SF 3등급, HA/DR 패턴, 쿠버네티스·서비스 메시 통합.
대규모 CDR 운영 — 수만 건/초 처리와 전국 단위 정책 관리 실무
TTA 12.027초 응답 기준의 올바른 해석, Autoscaling 트리거 설계, 메시지 큐 파이프라인, 관측성과 SLI/SLO, GitOps 기반 전국 단위 정책 관리, 무중단 배포, 장애 대응 플레이북까지.