LIMIT · 01
가상환경 우회
악성코드가 CPU 특성·레지스트리 키·마우스 이동 패턴을 검사해 "지금이 VM인가?"를 판별합니다. VM으로 판단되면 조용히 대기하다 종료되므로, 샌드박스 로그에는 정상 파일로 기록됩니다.
VMWARE · DETECTED NO-OP → 관찰값: 정상
관찰된 행위 0건
콘텐츠 보안이란 · CATEGORY 101 문서 파일이
문서 파일이
가장 흔한
침투 경로입니다.
IBM X-Force 2025 기준, 사이버 공격의 99%는 문서 파일을 경유합니다. 실행 파일(.exe)은 이미 메일 게이트웨이에서 차단되지만, 워드·PDF·HWP 안에 숨은 매크로·스크립트·악성 링크는 기존 보안이 원리적으로 잡지 못합니다.
FILE ANATOMY · 01
겉은 문서, 속은 실행 환경.
워드·엑셀·PDF·HWP는 단순한 "텍스트+표" 파일이 아닙니다. 문서 포맷은 내부에 코드를 실행할 수 있는 여러 스트림을 가집니다. 공격자는 이 스트림에 매크로·스크립트·OLE 객체·악성 링크를 심어 사용자가 문서를 여는 순간 코드가 실행되도록 설계합니다.
- 01
매크로 (VBA · JS)
Office 문서 내부 코드. "콘텐츠 사용" 한 번에 권한 상승·파일 다운로드 실행.
- 02
OLE · 임베디드 객체
문서 안에 다른 파일을 삽입하는 구조. 외부 실행 파일이 문서로 위장되는 대표 경로.
- 03
PostScript · 스크립트 스트림
HWP·PDF 렌더링에 사용되는 언어. 최근 공공기관 타깃 HWP 공격의 주된 벡터.
- 04
하이퍼링크 · 외부 리소스
문서가 외부 서버에서 콘텐츠를 가져오도록 설정. 열람 시점에만 악성 페이로드가 로드됨.
Q3-Report.docx Threat inside
\\WordDocument 본문 텍스트 · 서식 Safe
\\Metadata 작성자 · 최종 수정일 Safe
\\VBA_Macros 열람 시 코드 실행 (Auto_Open) Exec
\\OLE_Object_1 임베디드 HTA · 페이로드 호출 Exec
\\Styles 폰트 · 문단 스타일 Safe
\\Hyperlink_Rel 외부 c2 서버 HTTP 리퀘스트 Net
→ 사용자가 클릭·수정 없이 단순 열람만 해도 세 개 스트림이 동시에 활성화됩니다.
WHY SANDBOX FAILS · 02
샌드박스가 원리적으로 못 잡는 세 가지.
실행 기반 분석(샌드박스·APT 장비)은 "파일을 가상환경에서 열어보고 악성 행위를 관찰"하는 방식입니다. 그러나 공격자는 행위 자체가 일어나지 않도록 악성코드를 설계합니다 — 행위가 없으면 샌드박스가 볼 것이 없습니다.
LIMIT · 02
시간차 공격
파일을 연 뒤 즉시 실행되지 않고, 30분 · 2시간 · 며칠 뒤 타이머가 만료될 때 동작합니다. 샌드박스 분석 시간은 평균 2–3분 — 그 안에 아무 일도 일어나지 않으면 "무해"로 판정합니다.
ANALYSIS · 03:00 / 180:00 WAIT → 분석 윈도우 종료
예약된 트리거 T+48h
LIMIT · 03
사용자 행위 조건
"3페이지로 스크롤" · "특정 버튼 클릭" · "편집 모드 활성화" 등 실제 사용자만 할 법한 행동이 발생해야 악성 코드가 동작하도록 조건을 겁니다. 샌드박스에는 사용자가 없으니 조건이 충족되지 않습니다.
TRIGGER · ON_EDIT_CLICK IDLE → 조건 미충족
필요 조건 Human only
핵심
세 유형 모두 관찰 가능한 행위가 없다는 공통점을 가집니다. 샌드박스는 "행동을 지켜보는" 원리 자체의 한계로 이 영역을 덮을 수 없습니다.
THE TURNING POINT · 03 알아내려 하지 않습니다.
알아내려 하지 않습니다.
해체합니다.
탐지 기반 방어는 "이게 악성인가?"를 판별합니다. CDR 은 질문 자체가 다릅니다 — "이 안에 실행 가능한 요소가 있는가? 있으면 제거한다."
탐지 · Detection
패턴 매칭 → 판정 → 차단/허용
01 파일 수신 +0s
↓ 02 시그니처 · 휴리스틱 비교 AV
↓ 03 가상환경에서 실행 관찰 2–3min
↓ 04 "알려지지 않음" → 허용 PASS
! 탐지율 99%는 1%의 사고 가능성. 제로데이 · 가상환경 우회 · 시간차 공격이 그 1%에 정확히 해당합니다.
해체 · Disarm
구조 분해 → 위험 요소 제거 → 안전하게 재조립
01 파일 수신 +0s
↓ 02 포맷 사양 기반 구조 분해 MARS
↓ 03 실행 가능 요소 전량 제거 34ms
↓ 04 동일 레이아웃으로 재조립 SAFE
✓ "악성인지 모르는 상태"가 존재하지 않습니다. 위험할 수 있는 것은 처음부터 제거 — 판정의 불확실성이 구조적으로 사라집니다.
핵심 원칙
알려진 것을 찾는 대신, 모든 것을 해체하고 안전하게 재조립한다.
HOW IT WORKS · 04 MARS는 파일을 실행하지 않습니다.
MARS는 파일을 실행하지 않습니다.
바이너리 수준에서 읽습니다.
샌드박스가 "행동을 관찰"한다면, MARS는 포맷 사양을 역추적해 구조 자체를 해독합니다. 파일을 실행하지 않고 코드를 읽기 때문에, 행위를 숨긴 악성코드도 원리적으로 놓치지 않습니다.
비유 · 기존 방식
CCTV로 범죄 행위 관찰
사건이 일어나야 기록됩니다. 행위를 숨긴 범인은 CCTV가 보고도 알아채지 못합니다.
비유 · MARS
지문·DNA로 정체 판별
행동 없이도 구성 요소만으로 식별합니다. 실행되지 않아도 위험한 구조는 드러납니다.
MARS ENGINE · PIPELINE
STAGE 01
포맷 식별
확장자가 아닌 매직 바이트·내부 구조로 실제 포맷 판별. 309종+ 사양 내장.
309 specsSTAGE 02
구조 분해
CFB · OOXML · PDF Object · HWP Record 등 포맷 단위로 내부 스트림 전부 열람.
binary levelSTAGE 03
위협 판별
매크로·OLE·스크립트·외부 리소스 참조 등 실행 가능 요소를 코드 자체로 읽어 검증.
no executionSTAGE 04
위험 요소 제거
탐지가 아닌 해체 — 실행 가능 요소는 제로트러스트 원칙으로 전량 제거.
34msSTAGE 05
재조립 · 전달
동일 레이아웃·코멘트·하이퍼링크 스키마 유지. 사용자는 차이를 느끼지 못함.
safe.docx12.02s
평균 분석 시간 · TTA GS 1등급
34ms
무해화 처리 시간 · 파일당
309종+
지원 파일 포맷 · 세계 최다
FORMAT COVERAGE · 05 공격자가 쓰는 포맷 전부
공격자가 쓰는 포맷 전부
— 그리고 한글까지.
CFB · OOXML · PDF · HWP · HWPX · 이미지 · 압축 · 스크립트까지. 공공기관 타깃 공격의 주된 벡터인 HWP 계열을 포함해 주요 포맷을 모두 지원합니다.
309종+ SUPPORTED FORMATS
한글 · 공공 문서
18 .hwp.hwpx.hml.hwt.cell.show
Office 문서
42 .doc.docx.docm.rtf.odt.dot.dotx
스프레드시트
36 .xls.xlsx.xlsm.xlsb.csv.ods
프레젠테이션
24 .ppt.pptx.pptm.pps.ppsx.odp
PDF · 전자 문서
14 .pdf.xps.oxps.epub
이미지
58 .jpg.png.gif.bmp.tiff.svg.webp.heic
압축 · 아카이브
48 .zip.rar.7z.tar.gz.alz.egg
스크립트 · 실행
32 .js.vbs.ps1.bat.hta.wsf
미디어 · 기타
37 .mp4.eml.msg.html.xml.json
포맷 범위 CFB · OOXML · HWP · HWPX · PDF · HTML
경쟁 제품 대비 ~200종 수준 · 시큐레터는 309종+
무해화 후 보존 레이아웃 · 코멘트 · 하이퍼링크 스키마
인증 TTA GS 1등급 · CC · 조달청 등록