309종 포맷 커버리지 완전 분해 — 37 family × variant 카탈로그와 CDR 방어 원리

시큐레터 공식 자료는 SLCDR이 309종 이상의 파일 포맷을 지원하며 National #1 in standard formats로 기재한다^[1]. 한 포맷 family 는 컨테이너·파서·실행 요소·외부 참조·메타데이터의 5겹 구조를 가지며 각 층마다 독립된 공격 벡터가 존재한다. 309라는 숫자는 "많이 읽을 수 있다"가 아니라 "37개 family × variant 단위로 각 층을 완전 분해·재조립할 수 있다"는 의미로 읽혀야 한다. 이 글은 OOXML(ISO/IEC 29500) · HWPX(KS X 6101 OWPML) · PDF(ISO 32000-2) · RTF(MS 1.9.1) · MS-CFB · RFC 5322 · RFC 1952 등 표준 문서를 근거로 37개 family 를 해부하고, KISA 100% · TTA 12.027초 · Gartner Market Guide for CDR 40 벤더 평가 맥락에서 커버리지가 방어 완성도와 어떻게 동치가 되는지를 구조적으로 설명한다^[2]^[3].

309+

지원 포맷 수
Ensecure v2^[1]

주요 family
컨테이너 기준

34ms

평균 무해화 시간
DISARM Intro^[2]

100%

KISA 탐지율
Certified^[1]

1 왜 309라는 숫자가 중요한가 — 커버리지 = 방어 완성도

Gartner 2024-2025 Market Guide for Content Disarm and Reconstruction은 CDR 벤더 약 40 사를 식별한다^[3]. 반복 지적되는 차별 축이 regional document formats 와 depth of parser, not breadth of claim — 즉 나열 능력이 아니라 내부 구조 재구성 깊이다. 한국 환경에서 이 지점은 더 극단적이다. 공공 주력 포맷 HWP/HWPX 는 2015 CVE-2015-6585 → 2026 CVE-2025-29867 까지 11 년간 제로데이 7 건이 공개됐고^[4], 해외 벤더가 HWPX 를 "지원"으로 표기하더라도 OLE 스트림·BinData·PostScript·임베디드 객체까지 완전 해부하는 구현은 드물다.

💡 "지원한다"의 4 단계

L1 파싱 — 파일을 읽고 포맷을 식별한다
L2 스캔 — 알려진 시그니처를 찾는다
L3 부분 제거 — 매크로·JavaScript 등 주요 실행 요소를 제거한다
L4 완전 분해·재조립 — 모든 실행 요소를 유형별로 분해하고, 가독성을 보존한 상태로 원본을 재조립한다

SecuLetter 309 는 L4 기준이다. 벤더 비교 시 "몇 종 지원"이 아니라 "어느 레벨까지 분해"를 질문해야 한다.

2 37 family 개관 — 컨테이너 기준 분류

309 variant 는 37 개 컨테이너 family 로 집약된다. family 내부에서 extension · MIME · 버전 · 하위 프로파일이 variant 로 세분화된다(예: OOXML = docx·docm·xlsx·xlsm·pptx·pptm·dotx·xltx·potx ...).

#	Family	대표 확장자	표준	위험 등급
01	OOXML	docx·xlsx·pptx·docm·xlsm·pptm	ISO/IEC 29500^[5]	HIGH
02	MS Office Binary (CFB)	doc·xls·ppt	MS-CFB · MS-DOC · MS-XLS · MS-PPT^[6]	HIGH
03	ODF	odt·ods·odp·odg	ISO/IEC 26300^[7]	MID
04	HWP 5.0	hwp	KS X 6101 OWPML^[8]	HIGH
05	HWPX	hwpx	OWPML-XML 2023	HIGH
06	PDF	pdf	ISO 32000-2^[9]	HIGH
07	RTF	rtf	MS RTF Spec 1.9.1^[10]	HIGH
08	EML (MIME)	eml	RFC 5322 · RFC 2045-2049	MID
09	MSG (Outlook)	msg	MS-OXMSG · CFB 기반	MID
10	TNEF	winmail.dat	MS-OXTNEF	MID
11	MHT/MHTML	mht·mhtml	RFC 2557	MID
12	HTML/XHTML/XML	html·xhtml·xml	W3C · ISO/IEC 40500	MID
13	Image raster	jpg·png·gif·bmp·tiff·webp·heic	JPEG/JFIF · RFC 2083(PNG)^[11]	LOW/MID
14	Image vector	svg·eps·emf·wmf	W3C SVG · Adobe EPS	HIGH
15	Icon/Cursor	ico·cur	Microsoft	LOW
16	Video	mp4·avi·mkv·mov·wmv·flv	ISO/IEC 14496	LOW
17	Audio	mp3·wav·flac·m4a	RFC 3533 · ISO/IEC 11172	LOW
18	ZIP family	zip·jar·war·apk·ipa·docx컨테이너	PKWARE APPNOTE · ISO/IEC 21320	MID
19	RAR	rar	RARLAB proprietary	MID
20	7Z	7z	7-Zip LZMA SDK	MID
21	TAR · GZ · BZ2	tar·gz·bz2·tgz·tbz	POSIX · RFC 1952^[12]	MID
22	Legacy archive	ace·arj·lzh·cab·alz·egg	proprietary	MID
23	Disk image	iso·img·vhd·wim	ECMA-119 · MS-VHDX	HIGH
24	Windows PE	exe·dll·sys·ocx·scr·cpl	Microsoft PE/COFF	HIGH
25	Installer	msi·msp·mst	MS-MSI	HIGH
26	Shortcut	lnk·url·website	MS-SHLLINK	HIGH
27	Console	msc	MMC Snap-in XML	HIGH
28	Registry	reg·inf	Windows	MID
29	Script (WSH)	vbs·js·jse·vbe·wsf·hta	Microsoft WSH	HIGH
30	Shell	bat·cmd·ps1·psm1	PowerShell · cmd.exe	HIGH
31	Java	jar·class	JSR-000056	HIGH
32	Scripting lang	py·pl·rb·sh	open	MID
33	CAD	dwg·dxf·dwf	AutoDesk · ODA	MID
34	CAE/BIM	step·iges·ifc	ISO 10303 · buildingSMART	LOW
35	Text/Log	txt·log·csv·tsv	UTF-8 RFC 3629	LOW
36	Font	ttf·otf·woff·woff2	OpenType · W3C	LOW
37	AI 모델 (emerging)	pkl·pt·pth·onnx·safetensors	PyTorch · ONNX	HIGH

variant 단위로 세면 같은 family 에서 5-30 배 확장된다. OOXML 한 family 만 해도 템플릿·매크로·슬라이드쇼 variant 까지 합치면 30 종 이상. ZIP family 는 내부에 임베드되는 컨테이너(jar · war · apk · ipa · office-ooxml · odf 등)로 자체 증식한다. 37 × 평균 8.4 ≒ 309 의 산식이 여기서 나온다.

3 Office family — OOXML · Binary · ODF

OOXML (ISO/IEC 29500)

OOXML = ZIP + XML part + _rels 관계 그래프^[5]. 실행 요소가 여러 층에 분산된다.

VBA 매크로: word/vbaProject.bin · OLE CFB 스트림. docm · xlsm · pptm 에 내장
XLM 4.0 매크로: xl/macrosheets/sheet*.xml. XLS 시대 매크로가 XLSX 에 변형 상주
OLE 임베디드 객체: word/embeddings/ 하위. Equation Editor CVE-2017-11882 · CVE-2018-0802 벡터
DDE (Dynamic Data Exchange): 필드 코드에 {DDEAUTO ...} 삽입. Microsoft 가 2017 년 기본 비활성화했으나 공격 표면은 잔존
외부 참조: externalLink*.xml + _rels → 원격 DOCX/XLSX 로드 → 템플릿 인젝션 (Follina · CVE-2022-30190 MSDT 변종)
ActiveX·Form Control: word/activeX/

MS Office Binary (MS-CFB)

doc·xls·ppt 는 Compound File Binary 기반^[6]. Storage → Stream 트리에 매크로·OLE·SummaryInformation 저장. CDR 은 트리 순회하며 Macros/VBA·ObjectPool·EquationNative 등 위험 스트림을 제거 후 재압축.

ODF (ISO/IEC 26300)

odt·ods·odp 는 ZIP + XML + manifest.xml^[7]. 매크로는 Basic/·Scripts/ 에 저장되며 LibreOffice Basic·BeanShell·JavaScript·Python 4 종 공존. manifest 엔트리 + 실제 스트림 이중 검증 후 스크립트 디렉터리 일괄 제거.

⚠️ Office family 실행 벡터 8 종

SLCDR 은 Office family 에서 VBA · XLM · OLE 임베디드 · DDE · 외부 참조 템플릿 인젝션 · ActiveX · Form Control · BASIC/Scripts (ODF) 8 개 벡터를 독립적으로 분해한다. CVE 가 특정 벡터에 한정되더라도 나머지 7 개가 함께 제거되므로 미공개 제로데이에도 원리적으로 대응한다.

4 HWP/HWPX — 한국 특화 family

HWP 5.0 — MS-CFB 기반 OWPML

HWP 5.0 은 KS X 6101 OWPML 명세 · 물리 포맷은 MS Compound File 차용^[8]. 내부 스트림:

FileHeader: 서명 HWP Document File(32 bytes) · 압축/암호화 플래그
DocInfo: zlib 압축. 문서 속성·스타일·글꼴
BodyText/Section0..N: 본문. OLE 객체 · EPS PostScript · 매크로 · 하이퍼링크
BinData/*: 임베디드 바이너리. 이미지·PS·첨부파일
Scripts/DefaultJScript: HWP 문서 내 JavaScript. APT37 RoKRAT 의 전통 벡터
PrvImage · PrvText: 미리보기

HWPX — ZIP + OWPML-XML

HWPX 는 ZIP 컨테이너에 Contents/ · META-INF/ · Preview/ 배치. 임베드 방식은 다르지만 제거 대상 유형은 HWP 5.0 과 유사하다. 2026.2 Kimsuky HWPX+JSE NUKESPED 캠페인 · 2026.2.4 NVD 등재 CVE-2025-29867 (Hancom 2018/2020/2022/2024 全라인 CWE-843 · CVSS 8.5) 는 패치 전후의 공백을 CDR 이 구조적으로 메울 수밖에 없음을 보여준다^[4].

5 PDF — ISO 32000-2

PDF = Header → Body(간접 객체) → Xref → Trailer^[9]. 실행 요소가 간접 객체 딕셔너리에 분산된다.

/JavaScript · /JS — 액션 트리거, 필드 계산. CVE-2018-4990 RCE 시리즈
/Launch — 외부 실행 파일 기동 액션. Adobe 가 기본 차단했으나 구버전 Reader 잔존
/OpenAction · /AA(Additional Actions) — 문서 오픈·페이지 이동 시 자동 트리거
/EmbeddedFile — 임베디드 첨부(PDF 내 PE·HWP·DOCX). Stream 으로 저장
/SubmitForm · /URI — 외부 POST 액션. 자격증명 탈취
/GoToR · /ImportData — 원격 참조
XFA forms — XML Forms Architecture. JavaScript + 이벤트 모델. CVE-2015-0313 Flash 연동 시리즈

CDR 은 xref 재계산 후 액션 딕셔너리 삭제 · Object Stream 재직렬화. /OpenAction 등 자동 트리거가 사라지면 사용자 클릭이 있어도 실행 엔진 호출 자체가 발생하지 않는다.

6 RTF — 플레인텍스트처럼 보이는 바이너리 컨테이너

RTF 는 ASCII 제어어(\keyword) 문법이지만 \object·\objdata·\pict 를 통해 OLE/이미지/실행 요소를 hex-encoded 로 임베드^[10]. 대표 사건: CVE-2017-0199 (HTA 핸들러·OLE Link 자동 실행) · CVE-2017-11882/2018-0802 (Equation Editor) · Follina/CVE-2022-30190. 확장자만 바꿔도 Word 가 그대로 여므로 content sniffing 기반 구조 파싱이 필수. CDR 은 \object·\objdata·\objupdate 제어어 제거 후 본문 재조립.

7 이미지 family — 스테가노그래피와 파서 오버플로

이미지의 직접 실행 위험은 낮지만 다층 위험이 존재한다.

파서 메모리 결함 — libjpeg · libpng · WebP libvpx heap overflow (CVE-2023-4863 BLASTPASS) → RCE
스테가노그래피 — Operation Artemis(2025.12) 이미지 XOR RokRAT 은닉, 다단계 로더 메모리 복호화^[4]
SVG 내부 JavaScript — <script>·onload=·foreignObject. 브라우저 렌더링 시 실행
EPS/PostScript — Turing-complete 스택 언어. HWP 전통 벡터
메타데이터(EXIF/XMP/IPTC) — C2·식별자 은닉

CDR 은 픽셀 re-encode 로 메타데이터·스테가노·파서 트리거 시퀀스를 물리 제거. SVG 는 script/event handler/foreignObject 태그 필터링.

8 Archive family — 재귀 중첩과 bomb

아카이브는 내부 위험을 그대로 운반하며 고유 위험이 추가된다.

재귀 중첩 — ZIP 내부에 ZIP. Kimsuky 다단계 페이로드 전형
Zip bomb — 42.zip 류. 압축률 이용 DoS. ISO/IEC 21320-1 은 해제 정책을 벤더에 위임
암호화 아카이브 — 페이로드 은닉. 차단·격리·조건부 추출
레거시(ACE·ARJ·LZH·ALZ·EGG) — 파서 취약점. WinRAR CVE-2018-20250 ACE 대표
Zip Slip CVE-2018-1002200 — ../ 경로 조작으로 해제 중 임의 경로 쓰기

SLCDR 은 재귀 깊이 제한 + 엔트리별 개별 무해화 + 경로 정규화의 3 단 통제. Archive 는 메타 컨테이너이므로 309 전 family 가 하위에서 재호출 가능해야 한다.

9 스크립트 & 실행 family

Family	확장자	실행 환경	CDR 기본 정책
Windows PE	exe·dll·sys·ocx·scr·cpl	Windows 커널	차단 (원천 제거)
Installer	msi·msp·mst	Windows Installer	차단 · 내부 CustomAction 스크립트 위험
Shortcut	lnk·url	Explorer	차단 · PowerShell one-liner 은닉 경로
MSC	msc	mmc.exe	차단 · 2024.9 Kimsuky 강연의뢰서 벡터
WSH	vbs·js·jse·vbe·wsf·hta	wscript/cscript/mshta	차단
Shell	bat·cmd·ps1·psm1	cmd.exe · PowerShell	차단
Java	jar·class	JVM	차단 또는 매니페스트 검증
Scripting lang	py·pl·rb·sh	인터프리터	차단 또는 정책 허용
ELF / Mach-O	—	Linux · macOS	차단 (크로스플랫폼 대응)

실행 family CDR 원칙은 무해화 불가 = 차단. 재조립 대상이 아니라 정책 필터링 대상. EML/MSG/Archive 내부에 임베드된 경우 컨테이너는 통과하되 임베디드만 정밀 제거.

10 웹·메일 family — EML · MSG · MHT · TNEF

EML (RFC 5322 + MIME RFC 2045-2049) — 헤더 + 다중 MIME 파트. Content-Transfer-Encoding(base64 · quoted-printable). CDR 은 EML 파싱 후 각 첨부를 해당 family 처리기로 재귀 호출
MSG (MS-OXMSG) — MS-CFB 기반 Outlook 포맷. 헤더·본문·첨부가 CFB 스트림에 저장. Exchange 환경 필수
TNEF (MS-OXTNEF) — winmail.dat. Outlook 리치 서식 캡슐화. 내부 OLE·첨부 재귀 임베드
MHT/MHTML (RFC 2557) — 웹 페이지+리소스 MIME 캡슐. IE/Edge mhtml: URI 핸들러 CVE 시리즈. 내부 스크립트·외부 참조 제거

11 CAD · 설계 family

제조·건설·방위 공공기관에서 DWG·DXF·STEP·IFC 대량 유통. 위험: DWG VBA/AutoLISP (acad.lsp·acaddoc.lsp 자동 로드 악용), DXF INSERT/XREF 원격 참조, STEP/IFC 메타데이터(설계 유출). CDR 은 DWG AcDbBlockTableRecord 내 VBA/LISP 블록 제거 후 도면 재직렬화.

12 특수 family — LNK · MSC · MSI · REG

LNK (MS-SHLLINK) — 2025 최대 급성장 벡터. Kimsuky forceCopy · ToyBox · NUKESPED 전부 경유^[4]. ShellLinkHeader + LinkTargetIDList + LinkInfo + StringData + ExtraData 구조로 PowerShell one-liner 를 Arguments 에 은닉. 2026.1 FBI IC3 공식 경고.

MSC (MMC Snap-in) — XML 관리 콘솔. 2024.9 ASEC 83239 "강연의뢰서 HWP+MSC" Kimsuky 캠페인. 정상 .msc 와 악성 스크립트가 Manifest 위장.

MSI/MSP — Windows Installer. 내부 CustomAction 이 실행 진입점. REG/INF — 레지스트리 조작, CurrentVersion\Run 지속성 벡터.

13 Family × CDR 원칙 매트릭스

Family	제거 대상 핵심	재조립 원칙	가독성 보존
OOXML	VBA·XLM·OLE·DDE·외부템플릿·ActiveX	ZIP + XML part 재직렬화 + _rels 재계산	본문·표·이미지 유지
MS Binary	Macros/VBA·ObjectPool·EquationNative	CFB 트리 순회 + 안전 스트림만 재구성	본문·서식 유지
ODF	Basic/Scripts/Python/BeanShell	manifest.xml 엔트리 삭제 + ZIP 재압축	본문·스타일 유지
HWP 5.0	Scripts/DefaultJScript·BinData EPS·OLE	CFB 재구성 · zlib 재압축	텍스트·도표 유지
HWPX	Scripts·BinData·OLE·PostScript	Contents/*.xml 필터 + ZIP 재압축	텍스트·도표 유지
PDF	/JS·/Launch·/OpenAction·/AA·/EmbeddedFile·XFA	xref 재계산 + object stream 재직렬화	페이지·텍스트·이미지 유지
RTF	\object·\objdata·\objupdate·OLE Link	제어어 파싱 후 안전 그룹만 재조립	본문·서식 유지
EML/MSG	첨부 · 외부 링크 · TNEF 내부	MIME 재조립 · 각 파트 재귀 처리	본문 · 헤더 유지
MHT	script · event handler · 외부 참조	MIME 재조립 · 내부 HTML 필터	리소스 유지
HTML/XML	script · on* · iframe · object · embed	DOM 재직렬화	본문 유지
Image raster	EXIF/XMP/스테가노 · 파서 트리거	픽셀 re-encode	화질 거의 동일
SVG	script · event · foreignObject · external	XML 재직렬화	벡터 이미지 유지
Archive	재귀 중첩 · 경로 조작	해제 → 각 엔트리 개별 무해화 → 재압축	디렉터리 구조 유지
Script/PE/LNK/MSC/MSI	전체	차단 (무해화 불가)	—
CAD	VBA · AutoLISP · XREF · INSERT 원격	도면 개체 재직렬화	도면 기하 유지
Video/Audio	메타데이터 · 임베디드 스크립트 · 자막 XSS	컨테이너 재구성	재생 품질 유지
Text/CSV	CSV Injection (`=cmd\|...`)	선행 문자 이스케이프	데이터 유지

14 실행 요소 카탈로그 — 8 가지 핵심 유형

유형	어떤 family 에 임베드되나	대표 CVE/캠페인
VBA	OOXML(docm·xlsm·pptm) · MS Binary · ODF	Emotet · TrickBot 수년간
XLM 4.0	XLS · XLSM(macrosheets)	2020-2022 재부상, Emotet
OLE 임베디드	Office 全 · RTF · HWP	CVE-2017-11882 Equation · Operation Artemis
JavaScript	PDF · HWP · SVG · HTML	Adobe Reader · ScarCruft HWP 시리즈
DDE	OOXML · RTF · Office	2017 Sensepost 공개
LNK Arguments	독립 · ZIP 내부	ToyBox · NUKESPED · FBI 2026.1
MSC Manifest	독립 · ZIP 내부	Kimsuky 2024.9 강연의뢰서
External Reference	OOXML _rels · PDF /GoToR · HTML	Follina CVE-2022-30190

MITRE ATT&CK 는 이 8 유형 대부분을 T1204 User Execution · T1566.001 Spearphishing Attachment · T1105 Ingress Tool Transfer 로 분류한다^[13]. CDR 은 8 유형 모두를 family 별 파서 층에서 정밀 제거함으로써 한 번의 통과로 ATT&CK 초기 접근 표면 대부분을 소거한다.

15 KISA · TTA · Gartner — 평가 맥락 매핑

KISA 100% 탐지

Ensecure v2 공식 자료에 기재된 "KISA 100%"^[1] 의 대상은 공공 실사용 HWP/HWPX + OOXML + PDF + 이미지 + 아카이브 대표 셋. 특히 HWP · HWPX · OOXML · MS Binary · PDF · RTF 완전 지원이 100% 달성의 전제였다.

TTA 12.027 초 — 대용량 처리

TTA 인증 보고서 12.027 초 지표는 표준 대용량 파일 셋 기준^[2]. 평균 34ms 와 함께 PDF + OOXML 다중 임베디드 + 고해상도 이미지 + 재귀 ZIP 조합에서 성능을 담보한다.

Gartner Market Guide — 40 vendors

Gartner 2024/2025 식별 40 사^[3]. 권고 평가 축: ① Regional format coverage ② Parser depth ③ Integration breadth ④ Performance at scale ⑤ Threat intel reporting. 국내 공공에서 ①(한국 포맷)이 선행 요건이며 ②·③·④ 가 우수해도 HWP/HWPX L4 부재 시 도입 탈락.

16 미지원 포맷 정책 — 차단 vs 통과

309 라는 숫자에도 드물지만 미지원 포맷이 존재한다. 이때 정책 선택이 조직 보안의 실질적 결정점이다.

정책	장점	단점	권장 적용
기본 차단	위험 원천 차단	업무 파일 오차단 가능	공공 · 금융 · 망연계
격리 + 담당자 검토	유연성 · 업무 보존	검토 리소스 · 지연	대기업 일반 부서
통과 + 알림	업무 지장 없음	위험 수용	내부망 저위험 환경
벤더 포맷 추가 요청	커버리지 자체 확장	개발 리드타임	특수 업종 필수 포맷

시큐레터 SLCDR 은 4 가지 정책을 포맷 family 별로 독립 설정 가능하다. 예: 공공기관 N2SF 반입 구간은 HWP/HWPX/OOXML/PDF 는 L4 무해화, 그 외 모든 것은 차단 구성으로 운영하는 것이 실무 표준이다.

✅ 309 + "차단 정책" = 100% 커버리지

지원 포맷은 무해화, 미지원 포맷은 차단. 이 조합이 현실적 100% 방어다. "우리가 모르는 포맷이 엔드포인트에 도달하는 상황"을 구조적으로 제거한다. 광범위한 커버리지 + 명확한 폴백 정책이 감사 가능한 보안 체계의 조건이다.

17 한국 공공·금융 환경 필수 포맷 체크리스트

PoC·BMT 단계에서 반드시 검증할 포맷

HWP 5.0 · HWPX · HWP-MLOLE/EPS/Scripts/BinData 완전 분해 · Hancom 全라인 호환
공공 필수
OOXML 매크로 variantdocm · xlsm · pptm · VBA + XLM 4.0 모두
Office 필수
MS Office Binarydoc · xls · ppt 레거시 · CFB 트리 순회
공공 레거시
PDF 고급 액션/JS · /Launch · /OpenAction · XFA · EmbeddedFile
금융 필수
RTF OLE\object · \objdata · Equation Editor
메일 게이트
EML · MSG · TNEFExchange 환경 대응 · 각 첨부 재귀 처리
메일 필수
Archive 재귀ZIP(alz·egg 포함) · RAR · 7Z · Zip Slip 방어
전 업종
LNK · MSC · MSIKimsuky 2024-2026 주력 벡터
APT 대응
SVG + 이미지 스테가노Operation Artemis 유형 벡터
고급 대응
CAD(DWG · DXF)방위 · 제조 · 건설 공공기관
업종 특화
미지원 포맷 정책 명세차단 · 격리 · 통과 가시화
감사 요건
TTA 대용량 처리 회귀12.027 초 기준 성능 유지
운영 요건

18 시큐레터 4 제품과 포맷 커버리지 매핑

제품	주 적용 family	통합 포인트
SLF (파일 보안)	37 family 전체 · CDR + MARS 리버스엔지니어링	망연계 · 파일 반입반출 · API
SLE (이메일 · DISARM 통합)	EML · MSG · TNEF · 첨부 전 family · URL	Exchange · Gmail · MX relay
SLCDR (웹 CDR)	HTML · XML · SVG · PDF · 다운로드 실시간	프록시 · WAF · ICAP
ConTI (위협 인텔리전스)	제거 객체 메타 집계 · IoC 추적	SIEM · SOAR · ATT&CK 매핑

309 family 커버리지는 SLF 핵심 엔진이며 동일 엔진이 SLE · SLCDR 에 재사용된다. ConTI 는 제거 객체 통계를 MITRE ATT&CK 리포트로 자산화한다.

19 자주 묻는 질문 (FAQ)

Q1. 309 가 국내 최다 수준인가요?

Ensecure v2 공식 자료에 "National #1 in standard formats" 로 기재돼 있다^[1]. 한국 특화 포맷(HWP · HWPX · HWP-ML) L4 완전 분해가 결정적이며, Gartner Market Guide 의 regional format coverage 기준으로도 국내 1 순위.

Q2. 309 family 모두가 우리 조직에 필요한가요?

실사용은 10-30 종이지만 공격자는 드문·레거시 포맷을 선호한다. 폭넓은 커버리지가 사각지대를 메우고 감사에서 "누락 없음"을 증명. EML·ZIP 컨테이너 내부에 어떤 family 가 들어올지 예측 불가이므로 재귀 처리용 커버리지가 필요하다.

Q3. HWP/HWPX 를 해외 벤더도 지원한다던데요?

L1 파싱과 L4 완전 분해는 다르다. OLE 스트림·BinData zlib·EPS·DefaultJScript·OWPML 태그 재구성까지 해부하는 구현은 드물다. PoC 에서 실제 악성 HWPX+JSE+LNK 샘플로 제거 유형을 로그 검증하는 것이 표준.

Q4. ZIP 재귀는 어디까지 처리하나요?

재귀 깊이를 정책으로 설정(기본 다층). 각 레이어 해제 → family 식별 → 재귀 호출 → 재압축. Zip Slip · Zip bomb 방어 결합. 깊이 초과 시 차단 또는 격리.

Q5. 이미지에도 CDR 이 정말 필요한가요?

필요하다. (1) WebP libvpx CVE-2023-4863 파서 트리거, (2) Operation Artemis 스테가노그래피, (3) SVG 내부 JavaScript, (4) EPS/WMF PostScript 실행. 픽셀 re-encode 와 벡터 XML 필터링이 이 4 벡터를 물리 소거한다.

Q6. AI 모델 파일도 CDR 대상인가요?

신흥 family. PyTorch torch.load 는 pickle 을 호출해 임의 Python 객체 실행 가능. Model-embedded Malware 가 2025-2026 등장. 현재는 정책 기반 차단·격리 운영을 권장, 신규 family 지원 검토 중.

Q7. 미지원 포맷이 들어오면?

정책 설정에 따른다. 공공·금융은 기본 차단 + 검토 큐가 표준. 엔드포인트 도달 전 게이트에서 막고 필요 시 화이트리스트 예외. 신규 필요 포맷은 벤더에 커버리지 추가 요청.

Q8. 지원 포맷 목록을 PoC 전에 받을 수 있나요?

가능. PoC·BMT 단계에서 공식 목록을 서면 수령해 실사용 리스트와 대조. 커버리지 범위·지원 레벨(L1~L4)·미지원 시 정책까지 포함된 Coverage Matrix 형태 권장.

✓ 결론 — 37 family 의 완전 분해가 309 의 실체다

309 는 단순 수치가 아니라 37 컨테이너 family × variant × 5 겹 내부 구조의 산식이다. OOXML(29500) · HWPX(KS X 6101) · PDF(32000-2) · RTF(MS 1.9.1) · MS-CFB · RFC 5322 · RFC 1952 표준의 맨 아래 바이트 수준까지 파서가 내려가야 L4 완전 분해·재조립이 가능하다. 표면 지표 "몇 종 지원" 뒤에는 "어느 레벨까지 분해하는가"라는 진짜 질문이 있다.

VBA · XLM · OLE · JS · DDE · LNK Arguments · MSC Manifest · External Reference — 8 가지 실행 요소 유형은 family 를 넘나들며 임베드된다. CDR 의 힘은 포맷을 가로지르는 유형 기반 제거에 있다. 한 family 에서 JavaScript 를 제거할 수 있다면 다른 family 에서도 동일해야 한다 — 그것이 309 커버리지가 방어 완성도와 동치인 이유다.

한국 공공·금융에서는 HWP/HWPX · OOXML · PDF · RTF · EML/MSG · Archive · LNK/MSC 7 축이 핵심. KISA 100% · TTA 12.027 초 · Gartner Market Guide 평가가 모두 이 위에 성립한다. SLF · SLE · SLCDR · ConTI 4 제품은 동일 309 엔진을 파일·이메일·웹·인텔리전스 레이어에 배치해 엔드투엔드 커버리지를 구성한다. 309 는 숫자가 아니라 방어 레이어의 면적이다.

조직 실사용 포맷 기반 Coverage PoC

공공·금융·제조 조직이 실제로 다루는 파일 포맷 리스트를 받아 309 family 매트릭스와 대조하고, HWPX + JSE · RTF OLE · PDF XFA · Archive 재귀 · LNK/MSC 등 주요 위험 벡터에 대한 무해화 결과를 로그로 검증하는 PoC · BMT 를 지원합니다.

Coverage PoC 신청 → 공공 · 금융 · 제조 · 방위 · 의료 맞춤

REFERENCES

SecuLetter Inc., Ensecure v2 — SecuLetter at a Glance, 2025.12.17 (309 file formats · National #1 · KISA 100% 근거).
SecuLetter Inc., DISARM Solution Introduction KO, 2025.06.13 (34ms · TTA 12.027s 지표).
Gartner, Market Guide for Content Disarm and Reconstruction, 2024/2025 (약 40 벤더 · 평가 축).
SecuLetter 보안연구팀, HWP/HWPX 제로데이 2015-2026 연표 (a11) — CVE-2015-6585 · CVE-2022-33896 · CVE-2024-38178 · CVE-2025-29867 · Operation Artemis · ToyBox · Kimsuky HWPX+JSE NUKESPED 집계.
ISO/IEC 29500-1:2016, Information technology — Document description and processing languages — Office Open XML File Formats — Part 1: Fundamentals and Markup Language Reference — iso.org/standard/71691.
Microsoft, [MS-CFB]: Compound File Binary File Format / [MS-DOC]: Word Binary File Format / [MS-XLS] / [MS-PPT] — learn.microsoft.com/openspecs.
ISO/IEC 26300-1:2015, Open Document Format for Office Applications (OpenDocument) v1.2 — iso.org/standard/66363.
KS X 6101, 한글 문서 파일 형식 OWPML (Open Word-processor Markup Language), 한국산업표준. Hancom OWPML 공개 문서 — hancom.com/hwpDownload.
ISO 32000-2:2020, Document management — Portable document format — PDF 2.0 — iso.org/standard/75839.
Microsoft, Rich Text Format (RTF) Specification, version 1.9.1, 2008 — microsoft.com/download RTF 1.9.1.
IETF RFC 2083, PNG (Portable Network Graphics) Specification Version 1.0, 1997 — rfc2083. JPEG/JFIF · ISO/IEC 10918.
IETF RFC 1952, GZIP file format specification version 4.3, 1996 — rfc1952. PKWARE APPNOTE.TXT (ZIP).
MITRE ATT&CK, T1204 User Execution · T1566.001 Spearphishing Attachment · T1105 Ingress Tool Transfer — attack.mitre.org/T1204, T1566.001, T1105.
IETF RFC 5322, Internet Message Format, 2008 — rfc5322. RFC 2045-2049 MIME · RFC 2557 MHTML.
Microsoft, [MS-OXMSG]: Outlook Item (.msg) File Format · [MS-OXTNEF]: Transport Neutral Encapsulation Format · [MS-SHLLINK]: Shell Link Binary File Format — learn.microsoft.com/MS-OXMSG.
W3C, Scalable Vector Graphics (SVG) 2 — w3.org/TR/SVG2.
IETF RFC 3629, UTF-8, a transformation format of ISO 10646 — rfc3629.
Adobe, PostScript Language Reference, 3rd ed. · Encapsulated PostScript (EPS) File Format Specification 3.0 — adobe.com PLRM.
ISO/IEC 21320-1:2015, Document Container File — Part 1: Core (ZIP 기반 컨테이너 표준) — iso.org/standard/60101. PKWARE APPNOTE.TXT.
Apache Tika, Supported Document Formats (포맷 family 레퍼런스) — tika.apache.org/formats.
KISA 한국인터넷진흥원, 정보보호제품 성능평가 기준 · CDR 평가 — kisa.or.kr. TTA 한국정보통신기술협회 소프트웨어 시험인증 — tta.or.kr.
ASEC, Kimsuky · APT37 HWP · MSC · LNK 월간 캠페인 시리즈 83239·89771·90651·91524 — asec.ahnlab.com. Genians 시큐리티센터 Operation Artemis · ToyBox Story — genians.co.kr.
Open Design Alliance, DWG File Specification · AutoDesk DXF Reference — opendesign.com. ISO 10303 STEP · buildingSMART IFC — buildingsmart.org.
SecuLetter, MARS Platform · File Security Technology — seculetter.com/technology.

기술 심화 실무 검토가 필요하신가요?

시큐레터 보안연구팀이 현재 환경을 함께 검토합니다. 기밀 유지 보장, 비용 없음.

PoC 신청