파일 보안 솔루션 비교 요청이 자주 들어온다. 대부분 "우리 회사에 맞는 게 뭐냐"는 질문이다. 이 질문에 답하려면 세 기법의 작동 원리가 다르다는 것부터 이해해야 한다. AV는 "알려진 패턴"을 찾고, 샌드박스는 "실행해서 관찰"하며, CDR은 "판정하지 않고 처리"한다. 세 기법은 중복이 아니라 각자 다른 층위를 커버한다. 이 글은 그 층위를 12개 기준으로 정리한다.
SecuLetter Ensecure v2 (2025.12)[1]
DISARM Solution Intro (2025.06)[2]
Ensecure v2 — industry-leading[1]
Certified by KISA[1]
1 세 기법의 본질적 차이
기법을 섞어서 부르는 자료가 많다. "EDR도 CDR이다", "샌드박스가 있으면 AV는 필요 없다" 같은 말. 맞는 경우도 있고 틀린 경우도 있다. 정확한 구분이 없으면 비교 자체가 불가능하다.
AV (Antivirus) — 시그니처 매칭
파일의 해시, 바이트 패턴, 문자열 등을 알려진 악성코드 DB와 대조한다. 1987년 등장한 가장 오래된 기법이다. 휴리스틱·행위 기반을 추가한 현대 AV(EPP)도 근본은 "알려진 것을 안다"는 전제 위에 서 있다.
샌드박스 — 격리 실행 & 관찰
파일을 가상 환경에서 실제로 실행하고 프로세스·파일·네트워크 행위를 관찰한다. "알려진 것"이 아닌 "행동"을 기준으로 판정하므로 제로데이 일부를 잡을 수 있다. 대신 실행 가능한 환경을 완벽히 모사해야 하고, 공격자는 이 지점을 공략한다.
CDR — 구조 분해 & 재조립
파일을 실행하지 않고 바이너리 구조를 분해한 뒤, 실행 가능한 콘텐츠(매크로·스크립트·OLE·DDE 등)를 유형 기준으로 제거하고 원본 포맷으로 재조립한다. 판정을 건너뛴다는 점이 결정적 차이다. Gartner는 CDR을 독립 카테고리로 분류하며 Market Guide for Content Disarm and Reconstruction을 정기 발간한다.
AV는 "이거 악성이야"를 외치고, 샌드박스는 "이거 수상한 짓 하네"를 관찰하며, CDR은 "그냥 위험 요소 다 빼고 줄게"라고 답한다. 질문이 다르기 때문에 답도 다르다.
2 12개 기준 비교 매트릭스
실제 구매 결정에 쓰이는 기준 12개로 정리했다. 평가는 우수 · 양호 · 제한적 · 부족 4단계로 표기한다.
| 기준 | AV | 샌드박스 | CDR |
|---|---|---|---|
| 알려진 위협 탐지 | |||
| 제로데이 대응 | |||
| 회피 기법 내성 | |||
| 파일당 처리 시간 | |||
| 대량 실시간 처리 | |||
| 비실행형 파일 내부 분석 | |||
| 원본 가독성 보존 | |||
| 위협 인텔 수집 | |||
| 설치 위치 | 엔드포인트 | 네트워크 코어 | 게이트웨이 · 메일 · 망간 |
| 라이선스 모델 | 사용자 수 | 쓰루풋 | 쓰루풋 또는 파일 건수 |
| 운영 부담 (튜닝) | |||
| 감사 보고 용이성 |
* CDR은 판정을 하지 않으므로 "탐지율"이 아닌 "처리 보장"으로 측정한다.
** CDR+분석 엔진(MARS 등) 조합 시 인텔리전스 수집 가능.
3 샌드박스가 놓치는 5가지 회피 기법
샌드박스는 "실행해서 관찰"하는 기법이다. 따라서 실행하지 않거나 다르게 실행하면 관찰할 게 없다. 공격자들이 파고드는 지점이 정확히 여기다. Trend Micro Research가 공개한 대표 회피 기법 5가지를 요약한다.
- 가상환경 감지: VMware 프로세스·레지스트리·CPU 명령 확인 → 가상이면 양성 행위만 수행
- 시간차 공격: 실행 후 N시간 대기 (샌드박스 관찰 윈도우는 보통 5~10분)
- 사용자 상호작용 조건: 마우스 움직임·키 입력 감지되어야만 악성 행위 실행
- 특정 도메인·언어 조건: 타겟 조직의 AD 도메인 · 한국어 설정 확인 후에만 동작
- 파일리스 기법: 디스크에 악성 파일 안 떨어뜨리고 메모리에서만 실행 → 샌드박스 기록에 안 남음
CDR은 이 회피 기법들을 구조적으로 무력화한다. 실행하지 않기 때문이다. 실행 가능한 콘텐츠(매크로·스크립트·OLE)를 제거해버리므로 회피할 실행 자체가 없어진다.
4 AV가 놓치는 구조적 사각지대
AV를 "기본기"로 생각하는 조직이 많다. 맞다. 엔드포인트 실행 파일 위협에 AV는 여전히 중요하다. 문제는 비실행형 파일이다. PDF·DOCX·HWP 같은 문서 파일 내부의 매크로·임베디드 스크립트·OLE 객체는 AV의 주력 분석 대상이 아니다.
| 위협 유형 | AV 성능 | 이유 |
|---|---|---|
| 알려진 실행 파일 악성코드 | 강력 | 시그니처 DB 정합 |
| 매크로 기반 문서 공격 (Kimsuky HWP) | 제한적 | 문서 내부 파서 없음 |
| OLE 객체 임베드 공격 (APT37) | 제한적 | OLE 스트림 분석 부재 |
| 제로데이 문서 취약점 (CVE 등록 전) | 불가 | 시그니처 자체가 없음 |
| 파일리스 / 메모리 내 악성코드 | 제한적 | 디스크 기반 스캔 |
AV는 엔드포인트 실행 파일 방어에 필수지만, 게이트웨이·메일·망간 파일 전송 구간에서는 커버리지가 급격히 떨어진다. 이 구간이 CDR의 영역이다.
5 조직 유형별 권장 조합
세 기법 중 하나를 고르는 게 아니라 조합하는 것이다. 조직 성격에 따라 권장 조합이 달라진다.
| 조직 유형 | 권장 조합 | 이유 |
|---|---|---|
| 공공기관 (N2SF 대응) | AV + CDR 필수 | 망간 반입 통제 · 민감등급 문서 무해화 요건 |
| 금융권 | AV + CDR + 샌드박스 | 전자금융감독규정 · 이중 방어 · 감사 근거 |
| 제조/대기업 | AV + CDR (메일·협업) | 스피어피싱 1차 방어 · 실시간 대량 처리 |
| 보안 인텔리전스 운영 | 샌드박스 + MARS 분석 | APT 분석·위협 인텔 축적 목적 |
| 중소기업 (한정 리소스) | AV + CDR (이메일) | 최소 비용으로 90% 위협 커버 |
시큐레터는 세 기법 중 CDR과 리버스엔지니어링 분석을 모두 보유한다. MARS 엔진이 샌드박스 수준의 심층 분석을 실행 없이 수행하고, SLCDR이 무해화를 담당한다. AV는 엔드포인트 파트너 제품과 통합 운영한다.
6 비용 구조 — 단순 라이선스 비교가 왜 오해를 낳는가
구매 담당자가 자주 하는 오해가 있다 — "AV가 가장 싸고 샌드박스가 가장 비싸다"는 단순 비교다. 이 비교는 라이선스 가격만 본 것이며, 실제 TCO(Total Cost of Ownership)와는 다르다. 세 기법의 비용 구조를 실무 관점에서 분해한다.
AV의 비용 구조
사용자 수 또는 엔드포인트 수 기반 과금이 일반적이다. 도입 단가는 낮지만 "놓친 위협"의 사후 비용이 높다. 제로데이가 뚫린 침해 사고 한 건의 복구 비용이 수년치 AV 라이선스를 초과하는 경우가 흔하다. 또한 AV는 엔드포인트마다 설치되어야 하므로 사용자 수가 많은 조직에서는 라이선스 누적이 커진다.
샌드박스의 비용 구조
쓰루풋(처리량) 기반 과금이 표준이다. 초당·시간당 처리 가능 파일 수에 비례해 라이선스가 책정된다. 실행 관찰이 필요하므로 파일당 처리 시간이 길고(수십 초~수 분), 대량 트래픽 환경에서는 장비 스케일링 비용이 급격히 늘어난다. 또한 샌드박스 운영은 튜닝 부담이 크다. 오탐·미탐을 조정하려면 보안 인력이 지속적으로 정책을 관리해야 한다. 인력 비용을 포함한 TCO가 라이선스 표면 가격의 2~3배에 달하는 경우도 있다.
CDR의 비용 구조
게이트웨이 기반 또는 건수(파일 수) 기반 과금이 일반적이다. 처리 속도가 빨라(평균 34ms[2]) 동일 쓰루풋 대비 장비 규모가 작다. 운영 측면에서도 "판정 없음"의 장점이 비용을 낮춘다. 오탐·미탐 튜닝이 필요 없고, 정책 설계는 "예외 관리" 수준으로 단순하다. 운영 인력 부담이 샌드박스 대비 현저히 낮다.
도입 단가만 보면 "AV < CDR < 샌드박스" 순이지만, "예상 침해 리스크 · 규제 대응 비용 · 운영 인력"을 포함한 TCO로 보면 순서가 달라진다. 특히 공공·금융권은 침해 사고 시 규제 제재·복구 비용이 도입비를 훨씬 상회하기 때문에, CDR이 리스크 조정 수익률 관점에서 가장 유리한 경우가 많다.
7 실제 도입 시나리오 — 산업별 표준 구성
세 기법의 조합이 산업별로 어떻게 달라지는지 정리한다. 이 표는 시큐레터 공식 레퍼런스와 공개된 업계 관행 기반이다.
| 산업 | 표준 구성 | 핵심 고려사항 |
|---|---|---|
| 공공기관 | AV(엔드포인트) + CDR 필수(게이트웨이·망간) + 선택적 샌드박스(TI 수집) | N2SF 통제 영역 충족 · 감사 증적 자동화 · 한국 포맷(HWP) 완전 지원 |
| 금융권 | AV + CDR + 샌드박스 | 전자금융감독규정 · 이중 방어 · 감사 근거 축적 · 사고 대응 준비 |
| 제조·대기업 | AV + CDR (메일·협업 중심) | 스피어피싱 1차 방어 · 실시간 대량 처리 · 공급망 파일 검증 |
| 언론·미디어·싱크탱크 | AV + CDR(메일) + 외부 전문가 교류 파일 게이트 | APT37 등 타깃 공격 방어 · 개인 단말 노출 경로 관리 |
| 중소기업 | AV + CDR(이메일) | 최소 비용으로 문서 위협 90% 커버 · SaaS 기반 배포 |
| 보안 운영 센터(SOC) | MARS 같은 분석 엔진 + 샌드박스 | APT 분석 · 위협 인텔 축적 · 포렌식 대응 |
8 자주 묻는 질문 (FAQ)
✓ 결론 — 질문이 다르면 답도 다르다
"어떤 게 최고인가"는 잘못된 질문이다. "어떤 질문을 푸는가"가 맞다. AV는 "알려진 위협"을, 샌드박스는 "실행 행위"를, CDR은 "위험 요소"를 다룬다. 각각의 질문이 다르기 때문에 커버하는 층위도 다르고, 그래서 조합해서 써야 한다.
실무에서 가장 자주 빠지는 함정은 "비슷해 보이는 기법 중 하나를 골라서 다른 것을 대체하려는" 시도다. AV를 CDR이 대체할 수 없고, 샌드박스를 AV가 대체할 수 없다. 목적이 다르기 때문이다. 이 글의 비교 매트릭스가 그 선택의 근거가 되길 바란다.
귀사 환경에 맞는 조합을 함께 설계합니다
AV · 샌드박스 · CDR 중 어떤 조합이 필요한지, 귀사 로그 환경 기반으로 분석합니다. 30일 PoC로 실제 탐지 및 무해화 지표를 비교 측정합니다.
조합 설계 상담 신청 → 업종별 레퍼런스 공유 · 아키텍처 워크숍 · 감사 보고 템플릿 제공- SecuLetter Inc., Ensecure v2 — SecuLetter at a Glance, 2025.12.17 (75% 이메일 벡터 · KISA 100% · TTA 12.027s · Gartner 40 global vendors 근거).
- SecuLetter Inc., DISARM Solution Introduction KO, 2025.06.13 (SLCDR 평균 무해화 34ms 근거).
- MITRE ATT&CK, T1497 Virtualization/Sandbox Evasion — attack.mitre.org/techniques/T1497 (샌드박스 회피 기법 분류 체계).
- MITRE ATT&CK, T1566.001 Phishing: Spearphishing Attachment — attack.mitre.org/techniques/T1566/001.
- NIST, SP 800-83 Rev. 1 Guide to Malware Incident Prevention and Handling for Desktops and Laptops — csrc.nist.gov.
기술 비교 · L2 실무 검토가 필요하신가요?
시큐레터 보안연구팀이 현재 환경을 함께 검토합니다. 기밀 유지 보장, 비용 없음.