초록 ▼

연구개발 목표 및 내용
최종 목표
○ CDR(Content Disarm & Reconstruction) 및 ML(Machine Learning) 기술을 활용하여 문서 파일에서 추출한 Active Content를 대상으로 문서 파일에 특화된 위협 정보를 학습하여 자동화된 탐지 및 차단 기술 개발
○ 개발된 탐지 및 차단 기술을 통해 서버 및 End-Point 레벨에서 악성 코드 침투를 대응하는 다단계 악성코드 대응체계 구축
○ REST API, 이메일 프로토콜을 지원하는 클라우드 플랫폼 구축
○ 시스템은 크

연구개발 목표 및 내용
최종 목표
○ CDR(Content Disarm & Reconstruction) 및 ML(Machine Learning) 기술을 활용하여 문서 파일에서 추출한 Active Content를 대상으로 문서 파일에 특화된 위협 정보를 학습하여 자동화된 탐지 및 차단 기술 개발
○ 개발된 탐지 및 차단 기술을 통해 서버 및 End-Point 레벨에서 악성 코드 침투를 대응하는 다단계 악성코드 대응체계 구축
○ REST API, 이메일 프로토콜을 지원하는 클라우드 플랫폼 구축
○ 시스템은 크게 EP(End Point) Platform, GW(Gateway) Platform 및 Cloud Platform으로 구성
전체 내용
○ CDR 핵심 기술 고도화 개발
- CDR Engine 성능 및 분석 기술 고도화
- 다단계 악성 코드 대응 체계
- CDR 성과 분석 체계
- ML(Machine Learning) Engine 최적화 구축 및 고도화
○ CDR EP Platform
- Windows EP Platform
- Linux & MAC OS EP Platform
○ CDR GW Platform
- CDR SDK Porting 및 고도화(향후 CDR GW Core로 확장)
- (Secure) e-Mail Gateway
- 악성코드 포함 e-Mail 자동 분류 및 통계
○ CDR Cloud Platform
- CPE EP Core & Global Core
- Site Manager

연구개발성과
○ 본 과제는 고도화되는 문서를 통한 악성코드 공격과 APT 공격들의 효과적인 위협 탐지 및 대응을 위해, 문서 구조 분석 기술 활용하여 문서에서 추출한 Active Content 를 대상으로 문서에 특화된 위협 정보를 학습하여 자동화된 탐지 및 차단을 기능을 전방위적으로 제공하는 글로벌 AI 클라우드 보안 서비스 플랫폼임.
○ 최근의 사이버 위협은 문서가 차지하는 비중이 상당함에도 현재까지의 인공지능 이용은 악성코드 자체에 대한 탐지 시도에 머물고 있음. 따라서 악성코드를 포함하는 문서 자체가 갖고 있는 특징을 추출하여 학습하여 이용할 수 있다면 탐지의 정확도를 높일 수 있을 것으로 기대됨
○ 본과제를 통한 기술을 고도화하고 플랫폼으로 발전시켜 기업이나 단체 내의 보안 솔루션들과 연계 시스템 구축의 초석을 마련할 수 있을 것으로 예상됨
○ End Product
- CDR EP Platform (씨디알 엔드포인트 플랫폼)
- CDR Cloud Platform ( 씨디알 클라우드 플랫폼)
- Active Content Analysis (액티브 콘텐츠 분석)
- 0-Day Malwares DB Service (제로데이 악성코드 DB 서비스)

연구개발성과 활용계획 및 기대 효과
○ 다단계 악성코드 대응 체계 및 CDR 성과 분석 체계는 CDR 핵심 기술로 CPE (Content Prevention Engine) Core에 포함되는 체계임
○ 다양한 환경 및 규모에 적용 가능하도록 EP(End Point) Platform 및 GW(Gateway) Platform 개발
○ Cloud Platform은 EP Cloud 서비스를 필두로 Global Cloud 서비스(최종)로 단계적 확대
○ 전 세계적으로 처음 시도되는 Active Content 분석 및 CDR 성과 분석 기술
- Active Content가 실행되기 전에 사용자간 또는 시스템간 문서 파일의 유통 중에 악성코드를 포함한 Active Content를 분석/탐지/제거하는 것이 본 과제의 핵심이며, 이를 통해 제로데이 위협에 조기 대응할 수 있는 것이 특징임
- 이는 악성코드 대응에 있어 경제/사회/산업적 측면에서 혁신적인 파급 효과가 기대됨
- Multi-AV Engine 및 ML Engine을 활용한 CDR 성과 분석 기술 구현을 통해 제로데이 위협에 대응한 CDR 성과를 분석하고 가시화
○ CDR EP Platform 기반의 클라우드 서비스
- Windows, Linux 및 MAC OS용 EP Platform을 순차적으로 지원함으로써 End Point에 대한 전체적인 CDR 체계 확립
- 사용자 단말에 설치되는 EP Platform을 기반으로 외부로부터 유입되는 문서 파일에 대한 강제적 CDR 적용을 통한 선제적 악성코드 대응 가능
- Linux 및 MAC OS 사용자의 경우 주기적인 파일 점검 및 CDR 적용을 통한 악성 코드의 경유 또는 신규 생성 차단
○ CDR Appliance, SDK 및 EP/GW Platform을 통합한 Hybrid CDR
- 기업, 공공 및 금융 기관 대상 내부 조직 활동 유형별 최적의 CDR 솔루션 제공가능
- USB 또는 인터넷 사용 가능 부서는 EP Platform 구축, 망분리 및 망연계 환경에서는 SDK 또는 Appliance 적용, In-house 개발 SW에는 다양한 유형의 SDK 적용 가능
○ eMail G/W, EP/GW Platform을 통합한 Global 클라우드 서비스
- eMail G/W를 Cloud Platform에 통합하여 간편하게 eMail을 통해 유입되는 악성 첨부 문서에 대한 CDR 적용 가능
- GW Platform은 1차적으로 CDR SDK를 활용해 접근하며, 향후 Gmail 또는 Office 365를 위한 Plug-in 형태의 GW Platform을 제공함으로써 제공 범위 극대화 추진
○ Active Content Analysis Platform(악성코드 탐지 서비스 포털)
- restFull API를 제공하는 탐지 서비스 포털을 통해 다양한 시스템과 연동 가능
- 악성코드 분석 Framework(난독화 해제, 구조 탐색기, 분석 툴)은 악성 코드 분석 전문 제품으로 활용 가능
- 확보되는 ML(Machine Learning) 분석 기술은 사내 타제품의 분석으로 확대 활용 가능
- 확보되는 Active Content 분석 ML 모델을 소형화하여 Content Firewall에 탑재 및 기업 내에서 효과적인 악성 코드 탐지 모델로 활용 가능
○ Zero-Day 악성코드 DB 서비스 플랫폼
- 유/무료 악성코드 수집 채널(KOSIGN, C-TAS, ...)과 악성코드 공유를 통한 제로데이 위협 조기 대응 체계 고도화 및 상생 효과 추구
- 대용량 스트리지 서비스 기술의 확보를 통한 타 분야 서비스에 활용 가능

(출처 : 요약문 4p)

목차 Contents

• 표지 ... 1
• 최종보고서 ... 2
• 요 약 문 ... 4
• 목차 ... 7
• 1. 연구개발과제의 개요 ... 8
• 1-1. 문서를 통해 유입되는 악성코드 및 APT 공격 현황 ... 8
• 1-2. 악성코드 유입의 주요 경로 ... 10
• 1-3. CDR(Content Disarm & Reconstruction) 기술의 정의 ... 10
• 1-4. 목표 시스템 개요 ... 11
• 1-5. 주요 핵심 개발 기술 ... 12
• 1-6. 기술 개발 필요성 ... 14
• 1-7. 개발 기술의 독창성 및 차별성 ... 16
• 2. 연구개발과제의 수행 과정 및 수행 내용 ... 21
• 2-1. 수행 일정 및 추진전략 ... 21
• 2-2. 연구개발과제의 추진전략·방법 ... 23
• 2-3. 개발상세 내역 ... 25
• 2-4. 자체테스트 수행 결과 ... 64
• 3. 연구개발과제의 수행 결과 및 목표 달성 정도 ... 70
• 3-1. 연구수행 결과 ... 70
• 3-2. 목표 달성 수준 ... 95
• 4. 목표 미달 또는 미흡한 사항에 대한 분석 ... 97
• 5. 연구개발성과의 관련 분야에 대한 기여 정도 ... 98
• 6. 연구개발성과의 관리 및 활용 계획 ... 101
• 7. 연구개발성과에 대한 후속연구 및 추가 개발 계획 ... 111
• 7-1. COVID-19 이후 급변한 IT 환경 ... 111
• 7-2. COVID-19 이후 보안 위협 증가 ... 111
• 7-3. 추가기술 개발 필요성 ... 114
• 7-4. 추가 개발 목표 시스템 개요 ... 119
• 8. 연구개발비 사용실적 ... 121
• 붙임 1. 자체 보안관리 진단표 ... 122
• 끝페이지 ... 123