주간기술동향 2020. 3. 25.

12 www.iitp.kr

I. 서론

전통적인 악성코드 공격은 실행파일(exe 등) 또는 스크린세이버(scr) 등의 실행 가능한

파일을 통해 시도되었으나, 많은 Anti-Virus 및 기업 보안 정책에 의해 차단되면서 실행

파일을 통한 공격은 축소되는 추세이다.

반면, 최근 공격자들은 이메일, 웹 등 기업의 업무 프로세스 과정에서 외부와 빈번하게

파일 교환이 이루어지는 특징을 이용하여 문서, 이미지 파일 등의 정상 파일에 악성 콘텐

츠를 삽입하는 형태의 공격을 확대해 나가고 있다.

좀 더 구체적으로 살펴보면 문서 내 정상적으로 사용되는 Active Content를1) 악성코

드화하여 삽입하거나 악성 실행 파일을 문서 내 첨부하는 등 정상 문서인 것처럼 위장한

후 사용자에게 실행을 유도하는 형태의 표적형 공격이 확대되고 있는 추세이다.

[그림 1]은 실제 메일의 첨부 파일로 수신된 PDF 파일에 MS Word 문서가 임베디드되

* 본 내용은 이상준 이사(☎ 02-2006-6944, sjunee@jiran.com)에게 문의하시기 바랍니다.** 본 내용은 필자의 주관적인 의견이며 IITP의 공식적인 입장이 아님을 밝힙니다.1) Active Content(액티브 콘텐츠)는 각각의 편집기에서 추가적인 기능을 제공하기 위해 파일(문서) 내부에 포함될 수

있는 모든 유형의 콘텐츠를 의미하며, 일반적으로 표면에 노출되어 있지 않은 형태이고 악성코드로 활용될 수 있는 오브젝트(Macro, DDE, OLE Object, JavaScript, Embedded files, Hyperlink, MetaData, 이미지 파일 - 스테가노그래피(Steganography) 기법의 은폐 데이터 등)

chapter 2

표적형 악성코드 대응 CDR 기술 동향

•••이상준 ‖ ㈜지란지교시큐리티 이사

ICT 신기술

ICT 신기술

정보통신기획평가원 13

어 있고, 해당 파일에 악성코드를 다운로드하고 실행시키는 매크로가 포함되어 있는 사례

이다.

1. 문서형 악성코드 대응을 위한 기존 방식의 한계점

Active Content는 문서 내 정상적인 컴포넌트이기 때문에 Anti-Virus와 같이 알려진

악성코드 패턴 데이터베이스를 이용한 패턴매칭 방식의 탐지 기술에서는 정상·악성 판단

에 대한 한계가 존재한다.

또한, 파일 전체 시그니처를 패턴으로 활용하는 Anti-Virus의 특성상 동일한 악성

Active Content를 포함한 파일이더라도 사용자의 저장 버튼 클릭 한 번으로 전혀 새로운

Unknown Zero Day 악성 파일이 될 개연성이 충분히 존재하는 상황이다.

[그림 2]는 앞서 살펴본 악성 매크로를 포함하고 있는 MS Word 파일을 바이러스 토탈

에서 검사해본 화면을 캡처한 것으로 60개의 Anti-Virus 엔진 중에 11개만 악성코드로

분류하는 것을 볼 수 있으며, 이는 시그니처 기반 Anti-Virus 엔진의 한계를 보여주는

예라 할 수 있다.

지란지교시큐리티 자체작성

[그림 1] 유입된 PDF 파일 내 임베디드된 워드 파일의 매크로 코드

주간기술동향 2020. 3. 25.

14 www.iitp.kr

Anti-Virus의 패턴 매칭을 통한 정적 분석의 한계를 보완하기 위한 동적 분석 접근

방식이 가상 환경에서 직접 실행하여 악성 유무를 판별하는 샌드박스2) 기술이다.

그러나 지능화된 악성위협이 증가함에 따라, 가상 환경에서 유입된 파일을 실행하여

파일의 행위 분석을 통해 악성유무를 판단하는 이러한 샌드박스 기술이 부상하면서, 공격

자들은 샌드박스를 우회할 수 있는 다양한 기술을 적용하기 시작했다.

FireEye에 따르면 대표적인 샌드박스 우회 기술로는, 사용자의 행위를 탐지(마우스 클

릭, 스크롤 등)한 후 악성코드를 실행하는 휴먼인터랙션과 장기간 잠복 후 실행하는 Sleep

Calls, 샌드박스 내 가상 환경의 특정 OS 및 애플리케이션의 버전에서만 실행되는 버전

확인 형식 등이 존재하는 것으로 확인되며, 현재도 지속적으로 샌드박스를 회피·우회하는

기술이 증가하고 있는 추세로 샌드박스만으로는 지능화된 위협에 대응하는데 한계를 나타

내고 있다[1].

샌드박스의 또 다른 비효율성은 가상 환경에서 파일을 실행하기 때문에 분석에 상당한

시간이 소요되며, 이는 파일의 복잡성 등에 의해 더욱 지연될 수 있어 업무 부담을 초래한

다는 점이다. 따라서 샌드박스가 성능을 발휘하기 위해서는 고가의 장비가 요구되며, 이는

도입 비용의 가중으로 중소기업 규모에서 도입하기에는 현실적으로 어려움이 존재한다.

2) 샌드박스(Sandbox)는 보호된 영역 안에서 프로그램을 작동시키는 보안 소프트웨어로 가상의 운영 환경을 제공하고 소프트웨어를 동작시켜 행위를 분석함으로써 악성여부를 판단하는데 활용함

바이러스 토탈

[그림 2] 매크로 기반의 악성문서에 대한 Anti-Virus 스캐닝 테스트 결과

ICT 신기술

정보통신기획평가원 15

한편, 이미지 파일에 숨어 있는 스테가노그래피3) 기법을 이용한 악성 이미지 파일 역시

기존 Anti-Virus 및 샌드박스에서 탐지하는데 한계가 존재하기 때문에 실질적인 피해로

이어질 가능성이 크다.

2. CDR의 등장 및 개념

전통적인 악성 코드 대응 방법인 Anti-Virus와 샌드박스는 앞서 살펴본 바와 같이 제로

데이 악성코드에 취약하고, 회피·우회 기술들이 출현 및 고도화되고 있으며, 성능 및 비용

문제가 있으며, 스테가노그래피 대응에 어려운 측면이 있다.

CDR(Content Disarm & Reconstruction)은 이러한 대응 기술의 한계를 극복하기

위한 적극적 예방 기술로서, 파일 내 실행 가능한 Active Content(Macro, JavaScript,

Embedded Object 등)를 원천 제거하거나 비활성화 후 안전한 파일로 재조합하는 개념

으로 파일 내 실행 가능한 콘텐츠를 통해 발생할 수 있는 잠재적 위협을 원천적으로 예방

할 수 있는 보안 기술이다.

2016년 IT 리서치 전문 조직 Gartner가 발표한 보고서에서 Secure Email Gateway4)

시장에서 Advanced Threat Defense로 네트워크 샌드박스와 CDR을 함께 추천하면서

첨부파일 형태의 공격 대응 기술로 CDR이 주목받기 시작하였다.

첨부파일 형태로 시도되는 문서형 파일 기반의 공격은 사용자의 행동을 쉽게 유도하기

때문에 공격자들이 최근까지도 빈번하게 이용하고 있는 방식으로 기존 보안 환경을 우회

(신종, 변종 등장, 샌드박스 우회 기술)함에 따라 CDR이 보완 및 대체 기술로 성장하고

있다.

II. 표적형 악성코드 대응 기술, CDR

Active Content는 CDR 기술에서 빠지지 않는 구성 요소로서, 일반적으로 표면에 노

3) 스테가노그래피(Steganography)는 보이는 곳에 비밀을 숨기는 은닉법으로 해커들이 비밀 메시지를 전달하거나 악성코드를 숨기는데 사용

4) Secure Email Gateway는 이메일을 통해 유입되는 악성코드 차단, 스팸 필터링, 첨부 파일 보안 등을 제공하는 메일 보안 시스템

주간기술동향 2020. 3. 25.

16 www.iitp.kr

출되어 있지 않은 형태로 문서 파일 내부에 존재하며, 추가적인 기능을 제공하기 위해

포함될 수 있는 모든 유형의 Content를 통칭하며, 스스로 동작 가능한 특성 때문에 악성

코드로 악용이 가능하다.

Active Content에는 Macro, JavaScript, VBA, Flash, Attachments, Embedded

Doc, OLE Object, Hyperlink, Active X 등이 포함되며, [표 1]을 포함한 수많은 취약점

들은 이미 CVE(Common Vulnerabilities and Exposures)에 등재되어 있는 상황이다.

[표 1] Active Content의 다양한 잠재 위협

표면에 노출되지 않는 Active Content를 활용한 악성코드를 내재한 문서형 파일은

정상 문서를 가장하여 표적 사용자가 해당 문서를 열어보고 Active Content Enable

버튼을 클릭하도록 사회공학적 기법을 동원하며, 여러 경로를 통해 전달된다.

악성코드의 유입 경로는 크게 웹 브라우저를 통한 인터넷과 이메일을 들 수 있다. 특히,

이메일을 통한 악성코드 유입은 점차 증가하고 있는 추세이다. 2019년 현재 이메일과

인터넷을 통한 악성코드 유입은 전체의 과반을 초과하는 주된 공격경로이다. 악성코드

유입을 차단하기 위해서는 이에 대한 대응이 꼭 필요하여 이메일 프로토콜에 대한 대응이

필수적이라고 할 수 있다.

CDR은 다양한 채널로 유입되는 문서형 악성코드를 통한 위협을 효과적으로 예방할

수 있는 기술이며, 가트너는 기존 APT(Advanced Persistent Threat) 대응을 보완하거

나 대체할 수 있는 수단으로 CDR을 언급하고 있고 세계적으로 여러 개의 CDR 제품이

File Type Potential Threats CVE Code

doc

Macro, Imbedded ObjectScript enabled ActiveX Control

Hyperlink

CVE-2012-0158, CVE-2013-1331, CVE-2015-2545

xls CVE-2015-0097, CVE-2016-7264

ppt CVE-2006-0009, CVE-2014-4114

docx CVE-2013-3906, CVE-2015-1641, CVE-2015-2545

xlsx CVE-2015-2545

pptx CVE-2014-4114

pdf JavaScript, Actions, AnnotationAttachments, Multimedia ObjectsCVE-2007-5659, CVE-2008-2992, CVE-2009-0837

CVE-2010-0188, CVE-2010-2883 지란지교시큐리티(CVE 발췌)

ICT 신기술

정보통신기획평가원 17

출현하는 등 사이버위협 대응 방안 중 하나로 부상하고 있다.

1. CDR의 동작 절차 및 기술 유형

초기 CDR은 주로 문서의 타입을 변환하면서 자연스럽게 Active Content의 삭제를

기대하는 기술을 사용하였으나, 사용자의 업무 연속성 측면에서 상당한 제약이 발생하는

문제점과 이미지 또는 PDF 파일에 대한 변환 문제점 등이 제기되어 특수 용도 이외에

악성코드 예방용으로 사용되지는 않고 있다.

화면 재저장 방식은 문서형 파일 편집기 제조사가 제공하는 API를 활용하는 경우가

많기 때문에 편집기 동작 환경을 유지해야하고, 해당 편집기가 반드시 존재해야하는 문제

점과 무해화된 결과 파일에 오류가 발생하는 경우 대처하기가 어려운 기술이다.

구조 분석을 통한 CDR 구현 기술은 여러 채널을 통해 유입되거나 외부로 전송할 문서

형 파일에 대한 구조 분석을 통해 사용자 데이터와 독립적인 Active Content를 무해화하

고, 해당 문서가 정상적으로 사용될 수 있도록 재조립[2]하는 절차로 동작하며, 높은 성능

과 무해화된 파일의 오류에 대한 유연한 대처가 가능한 기술이다.

[표 2] CDR 기술 유형

2. CDR의 적용 사례

우선 문서형 파일의 기업/기관 유·출입 경로에 설치되어 있는 보안 및 업무시스템과의 연동

을 기본적으로 고려할 수 있으며, 메일보안 및 망연계 제품과 협업하는 경우가 일반적이다.

[표 3]은 문서형 파일 및 이미지 등을 제어 및 유통하는 다양한 시스템에 CDR을 적용함

유형 개요 특징

타입 변환원문과 다른 타입의 문서로 변환하는 과정에서 불필요한 Active Content가 자연스럽게 제거되는 효과를 기대(이미지 또는 PDF 형태로 변환)

문서 활용이 제한되며 원문이 이미지 또는 PDF 인 경우 대처가 곤란

화면 재저장 편집기 제조사에서 제공하는 API를 이용하여 사용자 화면에 표현되는 내용만 재저장편집기 동작 환경에 종속될 수 있으며, 삭제된 내용 확인이 어렵고, 문서 오류 발생 시 대처가 곤란

구조 분석 문서별 구조 분석을 통해 Active Content 분류 및 무해화상대적으로 높은 성능과 문서 오류 발생 시 대처가 가능

지란지교시큐리티 자체 작성

주간기술동향 2020. 3. 25.

18 www.iitp.kr

[표 3] CDR 활용 유형

으로써 악성 코드의 배포를 선제적으로 예방할 수 있는 사례들이다.

III. CDR 성과 분석 기술

일반적인 CDR 제품은 원본 문서형 파일을 입력받아 무해화된 문서형 파일과 함께 간단

한 보고서를 제공한다. 보고서에 포함되는 내용은 무해화에 소요된 시간, 크기의 변화,

Real File Type 정도이며, 무해화 대상 Active Content 내용이나 위험도, 성과 등에

대한 내용은 포함되어 있지 않다. CDR의 본질이 Active Content의 악성 여부를 판단하

지 않고 무해화하는 것이 맞기는 하지만 현업 담당자 입장에서는 필요성이나, 기술의 참신

성은 인정되나 실제 도입을 위한 예산 책정 등은 어려운 것도 사실이다.

이러한 현실적 난관을 극복하고, CDR 시장의 확대를 견인하기 위해 악성 코드 예방이

라는 CDR의 본질을 유지하면서 성과를 가시화할 수 있는 기술과 Active Content의 위

험성을 식별할 수 있는 기술을 소개해 보고자 한다. 우선, 무해화 대상 Active Content에

대한 상세 조회 및 분석 기능이 갖추어져 있고, 시그니처 기반의 Anti-Virus 엔진과 CDR

유형 CDR 대상

유입문서

이메일 보안 이메일의 본문 및 첨부 문서

망연계* 망연계를 통한 유입 파일

RBI** Internet Download 파일

매체제어 주변 기기로부터 유입되는 파일

게시판 보안 게시판 업로드 파일

유출 문서증명서 발급 증명서 파일

Publishing/Service File 보안 고객에게 제공되는 이미지 및 문서 파일

양방향 문서 대외 교환 문서 파트너, 협력업체 등과 교환 파일

내부 문서파일 서버/파일 중앙화 업로드 또는 다운로드 파일 저장 파일에 대한 스캐닝[5]

업무 시스템 파일 계약 문서 등 업무 시스템에서 생성 및 유통되는 문서 파일* 망연계 망분리 네트워크 구간에서 데이터와 제어 흐름 등을 안전하게 교환할 수 있도록 하는 비표준 체계** RBI(Remote Browser Isolation) 웹 격리라고도 하며, 단말의 브라우저와 웹 서버간의 직접적인 접속을 통한 위험을 해소하기 위해

원격지 서버를 경유하도록 하는 기술 지란지교시큐리티 자체 작성

ICT 신기술

정보통신기획평가원 19

엔진이 함께 제공되는 환경이라는 전제 하에 다음과 같은 성과 가시화가 가능하다. 기본적

으로 문서형 파일이 유입되면 Anti-Virus 엔진에 의해 악성여부를 판단하고, 악성이 아닌

경우(즉, 양성인 경우) CDR 엔진에 의해 무해화가 진행되고 결과(무해화된 문서형 파일

및 보고서)가 다시 요청자에게 전달되는 절차로 동작한다. 한편, Anti-Virus 엔진이 악성

으로 판단한 문서형 파일은 CDR 엔진에 의한 무해화는 생략되고 감염 내용을 포함한

보고서만 요청자에게 전달되는데, 여기에 [그림 3]과 같은 성과 분석 기술을 추가할 수

있다[7].

Anti-Virus 엔진에 의해 악성으로 분류된 문서형 파일을 CDR 처리 결과에서 검색하여

동일한 파일이 존재한다면 CDR 엔진은 과거 Anti-Virus 엔진이 해당 파일을 양성으로

판단했을 당시에 이미 무해화 처리한 것이다. CDR 처리 내역에 함께 저장되어 있는 무해

화 대상 Active Content를 확인하여 실제로 악성코드가 포함되어 있다면 CDR에 의해

Anti-Virus가 알 수 없었던 Zero-Day 악성코드 위협에 대응한 것임을 확인할 수 있다.

[그림 4]는 시그니처 기반의 Anti-Virus의 도움없이 무해화 대상 Active Content의

유사성 분석을 통해 위험을 판단하고 가시화할 수 있는 기술이다[3],[8].

Active Content가 악성코드라면 동일한 Active Content가 여러 파일에 포함되어 있

을 개연성은 충분하다. 실제로 Microsoft Word에 동일한 매크로를 작성하여 포함시키고

전체 워드 파일을 다른 이름으로 저장하면 메타 정보 등이 변경되어 워드 파일은 서로

지란지교시큐리티 자체 작성

[그림 3] CDR Zero-Day 대응 성과 분석

주간기술동향 2020. 3. 25.

20 www.iitp.kr

다른 시그니처를 갖게 된다. CDR은 무해화 대상 Active Content 정보를 알 수 있기

때문에 [그림 4]와 같이 유사한 Active Content를 기준으로 문서형 파일의 연관도를 표

현할 수 있으며, 이러한 구성이 존재한다면 악성 코드가 의심스러운 Active Content가

되고, 실제 악성코드 여부는 상세 조회를 통해 확인할 수 있을 것이다. 그 중에 Anti-

Virus 엔진에 의해 악성으로 구분되는 파일이 나타난다면 모든 파일을 악성코드로 분류

가능하며, CDR은 Zero-Day 악성코드에 대응한 것이다.

IV. Content 방화벽 기술

일반적으로 CDR은 보안 이메일 게이트웨이나 망연계 시스템과 API 또는 공유 폴더

방식으로 연동하여 유입되는 악성코드를 포함한 문서형 파일에 대한 대응 체계에 적용하

는 사례가 많다. 그러나 앞서 살펴 본 바와 같이 CDR의 활용은 유입되는 문서형 파일뿐만

아니라 외부로 전송되는 문서형 파일에도 적용하는 것이 바람직하다. 실제로 이미지 파일

을 고객에 서비스하는 과정에서 악성코드가 포함된 파일이 유포되어 해당 사업에 막대한

위험을 초래한 사례도 있다.

[그림 5]와 같이 문서형 파일을 콘텐츠 유·출입 채널에서 직접적으로 제어하는 시스템은

지란지교시큐리티 자체 작성

[그림 4] CDR 위험 가시화 기술

ICT 신기술

정보통신기획평가원 21

다양하게 존재하며, CDR 시스템과는 API 또는 공유 폴더 형태로 연동하는 구조로 구축된다.

이러한 구성은 문서형 파일의 유통 경로 측면에서 보면 CDR 시스템이 논리적인 인라인

장비 역할을 할 수 있으며, 기업 내 유통되는 모든 콘텐츠에 대한 통합 정책을 기존의

네트워크 방화벽과 유사한 방법으로 구현할 수 있다. 여기에 AV, Sand-box, Instance

DLP, 개인정보 Filtering[3] 등 문서형 파일에 적용 가능한 보안 모듈을 적절히 배치함으

로써 전사적 통합 콘텐츠 위협 대응 및 보호를 위한 콘텐츠 방화벽을 구축할 수 있다.

V. CDR 및 머신러닝 기반의 제로데이 위협 대응 기술

하나의 문서형 파일에는 상이한 유형의 Active Content가 다수 혼재할 가능성이 높고,

이러한 Active Content만을 표현할 수 있는 별도의 포맷으로 저장할 수 있다고 하면,

최근 각광받고 있는 머신러닝 기법을 활용하여 악성 여부를 전체 파일을 분석하는 것 보다

좀 더 정교하게 분석할 수 있을 것이다[9].

이렇게 악성으로 분석된 Active Content를 포함하고 있는 문서형 파일의 시그니처는

새로운 개념의 CTI(Cyber Threat Intelligence)가 될 수 있으며, 사용자가 해당 파일을

사용하기 전에 좀 더 Zero-Day에 가까운 시점에서 획득할 수 있다는 CDR의 설치 위치

지란지교시큐리티 자체 작성

[그림 5] 콘텐츠 방화벽 개념도

주간기술동향 2020. 3. 25.

22 www.iitp.kr

적인 장점이 있기 때문에 효과적인 예방 대책이 될 수 있을 것으로 기대한다.

[그림 6]은 국책 과제로 진행하고 있는 “CDR 및 머신러닝 기반의 제로데이 위협 대응

기술[10]”에 대한 개념적 구성도이다.

머신러닝을 이용하여 유의미한 예측 모델을 얻기 위해서는 학습 데이터의 양과 질, 그리

고 추출되는 Feature가 중요하며, 이를 위해 광범위하게 대량으로 Active Content를

악성과 양성으로 구분하여 수집하는 것이 관건이라 할 수 있다.

이를 위해, 설치되는 CDR 제품군으로부터 Active Content를 취합하고, CTI 또는 악

성 웹사이트로부터 문서형 파일을 크롤링 등을 통해 수집하여 Active Content를 추출하

여 대용량 저장소에 저장한다. Active Content Analysis Platform에서는 수집된 Active

Content를 학습하고 검증하여 최적의 예측 모델을 생성하고 지속적으로 업데이트하며,

지란지교시큐리티 자체 작성

[그림 6] CDR 및 머신러닝 기반의 제로데이 위협 대응 기술

ICT 신기술

정보통신기획평가원 23

전문가의 원활한 악성여부 판단을 위해 문서 구조 탐색 및 분석 툴을 제공하고, 생성된

예측 모델을 이용한 탐지 서비스도 제공한다.

기존의 머신러닝을 이용한 악성 코드 탐지는 주로 바이너리 악성 코드를 대상으로 하였

으나, 본 과제에서는 프로그램형(텍스트형) 악성 코드 및 복합적으로 구성된 Active

Content를 대상으로 연구를 진행하고 있다.

악성 코드로 분류되는 Active Content를 포함하고 있는 문서형 파일의 시그니처가

신규인 경우 0-Day Malwares DB Service Platform에 제공하고, 외부 CTI와 공유함으

로써 Active Content 분석을 통한 악성코드 탐지의 새로운 악성코드 대응 접근법을 제시

할 수 있을 것이다.

VI. 결론

악성코드 대응을 위한 전통적인 접근 방법인 Anti-Virus와 Sand-Box가 Zero-Day 위협에 한계점을 노출하는 상황에서 예방이 가능한 CDR 기술을 통해 좀 더 적극적이고, 효과적인 협력 대응 체계를 구축할 수 있다.

특히, 사회공학적인 공격 기법을 통해 정상 메일과 구분이 어려운 악성 위조 메일이 정상 메일과 공존하는 환경에서 사용자의 주의에 의존한 악성 메일의 식별이나, 정상 메일까지 필터링될 수 있는 키워드 기반의 메일 필터링 방법은 업무의 연속성 측면이나 보안성 측면에서 효과적이라고 할 수 없다[5].

CDR 기술은 이러한 환경에서 모든 메일(정상 및 악성)의 첨부 파일에 대해 무해화함으

로써 업무의 연속성 및 보안성 모두를 보장할 수 있는 최적의 대안이 될 것으로 예측된다.

또한, 중소기업이나 개인 사용자를 위한 End-Point CDR을 통한 단말(Host)에서의

근본적인 악성코드 대응 기술의 출현도 기대해 본다.

[ 참고문헌 ]

[1] Abhishek Singh and Zheng Bu, “HOT KNIVES THROUGH BUTTER: Evading File-based Sandboxes,” Fireeye, 2014. p.4.

[2] 박상훈, “파일 내 포함된 콘텐츠 무력화 장치 및 방법, 그 기록매체(등록특허)”, 지란지교시큐리티, 2018. p.7.

주간기술동향 2020. 3. 25.

24 www.iitp.kr

[3] 이상준, 노수현, “파일 내 포함된 특정정보 탐지장치 및 방법, 그 기록매체(등록특허)”, 지란지교시큐리티, 2018. p.10.

[4] 이상준, 노수현, “멀티미디어 파일 보안용 컨텐트 방화벽, 컨텐트 보안시스템 및 기록매체(등록특허)”, 지란지교시큐리티, 2018. p.10.

[5] 이상준, “악성코드 감염 유도정보 판별 시스템, 프로그램이 기록된 저장매체 및 방법(등록결정특허)”, 지란지교시큐리티, 2019. p.13.

[6] 이상준, “콘텐트 스캐닝 에이전트, 콘텐트 스캐닝 서버, 콘텐트 스캐닝 방법 및 그 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록매체(등록결정특허)”, 지란지교시큐리티, 2019. p.8.

[7] 이상준, “멀티미디어 파일 보안 시스템 및 방법과 컴퓨터로 읽을 수 있는 기록매체(출원특허)”, 지란지교시큐리티, 2019. p.9.

[8] 이상준, “파일 내 악성 위협을 처리하는 인공지능 기반 장치, 그 방법 및 그 기록매체(출원특허)”, 지란지교시큐리티, 2019. p.10.

[9] 이상준, “악성 멀티미디어 파일을 분류하는 인공지능 기반 장치, 방법 및 그 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록매체(출원특허)”, 지란지교시큐리티, 2019. p.11.

[10] 이상준, “CDR 및 머신러닝 기반의 제로데이 위협 대응 플랫폼 및 서비스 개발(정보보호핵심원천사업 사업계획서)”, 지란지교시큐리티, 2019. p.11.

[11] 금융보안원, “2020 사이버보안 이슈 전망”, 2020. p.1.

I. 서론II. 표적형 악성코드 대응 기술, CDRIII. CDR 성과 분석 기술IV. Content 방화벽 기술V. CDR 및 머신러닝 기반의 제로데이 위협 대응 기술VI. 결론