AI로 더욱 정교해진 문서형 악성코드와 공급망 위협이 늘어나는 가운데, 악성 여부 판단 없이 문서 내부의 액티브 콘텐츠를 전수 제거·재조립하는 CDR(Content Disarm and Reconstruction)이 보안 현장에서 주목받고 있다. 지란지교시큐리티 이상준 CTO는 최근 서울에서 열린 사이버보안 컨퍼런스에서 CDR을 “콘텐츠 차원의 제로트러스트”로 정의하며, 보안의 시작점을 감염 이후 대응에서 공격 유입 단계로 앞당기는 ‘시프트 레프트(Shift Left)’ 전략으로 기능할 수 있다고 설명했다.
CDR의 핵심 원리는 판단 없이 전수 처리하는 것이다. 바이러스 백신은 알려진 악성 시그니처를 기반으로 탐지하기 때문에 신종 제로데이나 미탐지 공격에 취약한 빈틈이 생긴다. 반면 CDR은 악성 여부와 무관하게 매크로, 스크립트 등 모든 액티브 콘텐츠를 전수 제거한 뒤, 사람 눈에 보이는 내용은 그대로 재조합해 전달한다. 발신자 신뢰도나 유입 경로와 상관없이 전수 처리하고, 사용자 단말에 저장되기 전에 처리한다는 세 가지 특성이 제로트러스트 원칙과 맞닿는다. 실제로 지란지교시큐리티는 백신과 CDR을 병행하는 방식을 권장한다. 백신이 악성으로 판단한 파일은 CDR을 거치지 않고 차단하고, 양성으로 판단된 파일에만 CDR을 적용함으로써 처리 속도와 보안 효과를 동시에 확보한다.
이 CTO는 CDR이 제로데이 대응에서도 효과를 발휘할 수 있다고 강조했다. CDR의 처리 내역에 악성 파일이 포함돼 있다면, 그것은 백신이 탐지하지 못한 것이기 때문에 역추적을 통해 사후에 제로데이를 감지한 셈이 된다. 클라우드 서비스처럼 여러 지점에서 제품을 설치하는 경우, 악성 파일의 유통 위치까지 추적하고 이 과정을 SOC·SIEM에서 자동화한다면 제로데이 대응 역량을 높일 수 있다고 설명했다.
지란지교시큐리티는 악성파일 분석 플랫폼에 머신러닝과 XAI(설명 가능한 AI)를 결합해 실시간 통합 탐지를 수행하며, CDR 이전 단계에서 선제적으로 탐지하는 방식도 함께 운용 중이다. 최근에는 메일 보안 장비, 공공기관·금융권 웹서버, 민원 포털 등 다양한 환경에서 CDR 기능을 SDK 형태로 통합해달라는 수요도 늘어났다고 밝혔다.
