디지털서명 보안 ..."이러니 뚫리지"

일반입력 :2011/12/06 10:42    수정: 2011/12/06 10:56

김희연 기자

소프트웨어(SW) 프로그램 신뢰성 판단 기준이 되는 디지털서명 보안에 적신호가 켜졌다. 현재까지 확인된 디지털서명 유출 기업은 NHN, 넥슨, 이스트소프트 등이다. 해당 기업들은 이미 문제가 됐던 디지털서명을 모두 폐쇄 조치한 상태로 사용이 불가능하다. 그러나 해당 기업들의 디지털인증서 보안관리 체계에 의문을 제기하지 않을 수 없다.

5일 관련업계에 따르면, 디지털서명 유출은 해당 기업의 SW를 사용하는 많은 이용자들에게 피해를 줄 수 있다. 그러나 디지털서명 관리가 허술하다보니 해커들이 악의적인 공격행위를 시도하기 시작했고, 이는 고스란히 피해로 나타나게 됐다.

해커들이 악용한 디지털인증서는 인터넷 상에서 신뢰성을 나타내주는 일종의 전자 보증서라고 생각하면 된다(인증서 내에 서명이 포함돼 있다). 이는 특정 인증기관을 통해 발급되며 해당 인증서의 소유자 이름, 유효기간, 소유자 전자서명을 확인할 수 있는 공개키는 물론, 사실여부를 확인해주는 인증기관의 전자서명 값까지 포함하고 있다.

이 때문에 디지털서명의 유출은 해당 기업의 이미지에도 큰 타격을 줄 수 있어 대책마련이 시급하다.

■NHN, 넥슨, 이스트소프트 이미 조치 완료했다

올해 NHN, 넥슨, 이스트소프트는 뒤늦게 디지털서명 유출 사실과 여기에 악성코드가 심겨져 유포되는 정황을 파악하고 후속 조치에 나섰다. 현재 NHN과 넥슨은 해당 디지털서명을 폐기해 사용하지 못하도록 한 상태인 것으로 알려졌다.

넥슨 측은 “지난 여름 이미 디지털서명 유출에 대해 확인하고, 이미 대응 조치한 상태로 해당 인증서는 폐기 처분해 사용이 전혀 불가능한 상태”라고 말했다.

보안업계 한 관계자는 “NHN과 넥슨 모두 해외 기술개발자 PC의 악성코드 감염으로 인해 해당 디지털서명이 유출된 것으로 보인다”면서 “현재 양 사 모두 디지털서명을 폐기했다면 무용지물이기 때문에 피해가 확산 될 가능성은 없을 것”이라고 말했다.

이스트소프트는 지난 28일 알약 분석팀에 제보메일을 통해 디지털서명 유출 상황을 파악한 것으로 알려졌다. 이후 인증서 재발급 절차를 통해 현재는 이를 폐기한 상태이며, 해당 악성코드도 알약 긴급 업데이트를 통해 치료할 수 있도록 조치했다.

이스트소프트 측은 “디지털서명 유출피해로 인해 현재까지 회사에 파악된 문제점은 없는 것으로 확인됐으며, 이번 피해를 계기로 디지털인증서 관리 프로세스를 더욱 강화해 나가겠다”고 해명했다.

■허술한 디지털 인증서 관리가 ‘문제’

국내 기업들에게 확인된 사례 외에도, 최근 해외에서 유명 기업의 디지털서명 유출 피해가 증가하는 추세다. 이를 두고 일각에서는 디지털인증서 관리 체계의 허술함으로 인해 생겨난 문제점이라고 지적했다.

한 SW개발자는 “대부분 개발자들이 개별PC에 디지털인증서를 보관해 사용하고 있는 것은 사실이다”라면서 “인증서 유출로 인해 해커가 내부 정보에 접근할 수 있는 권한까지 획득할 수도 있기 때문에 더욱 주의를 기울여 관리해야 하겠지만 그렇지 못한 것이 현실”이라고 말했다.

그는 현재 개발 구조상 체계적인 관리 프로세스로 디지털인증서를 관리하는 것은 쉽지 않다고 하소연했다. 하루에만 수십 번씩 이뤄지는 업데이트 때마다 일일이 인증서를 가져와 이용하는 것 자체가 번거롭기 때문에 업무 효율상 쉽지 않다는 것이다.

관련기사

이 때문에 대부분 국내 개발자들은 개인PC에 저장해 디지털인증서를 사용하는 것이 관행처럼 이뤄지고 있다.

보안업계 한 전문가는 “해외의 경우는 다소 불편함이 있더라도 철저한 보안 정책 아래 디지털 인증서 관리가 이뤄지고 있는 것에 반해 국내 SW기업들은 관리체계가 허술한 것이 사실이다”면서 “다소 불편을 겪는다고 해도 기업차원에서 디지털인증서를 체계적으로 관리해 유출사고를 미연에 방지해야 할 것”이라고 말했다.