국내 보안 업체의 코드서명 인증서가 탑재된 악성코드가 유포된 것으로 나타났다.
코드서명은 자사 프로그램(보안 모듈)을 배포할 때 해당 기업이 제작·배포한 것임을 증명하기 위해 인감 도장처럼 사용하는 일종의 전자서명이다. 악성파일에 코드서명 인증서가 탑재돼 있을 경우 이용자가 정상 파일로 신뢰할 가능성이 커지는 셈이다.
이스트시큐리티 시큐리티대응센터(ESRC)는 지난 30일 이를 확인, 한국인터넷진흥원(KISA)에 제보했다고 밝혔다. KISA는 해당 사안 관련 현장 조사를 진행 중이다.
ESRC에 따르면 해당 악성코드는 감염 시 스케쥴러에 'Jav Maintenance64'라는 이름으로 등록된다. 이후 매일 주기적으로 재실행이 이뤄지도록 설정하는 봇을 설치한다. 공격자는 감염 PC에 임의의 추가 악성 행위를 수행할 수 있게 된다.
ESRC는 "디지털 서명이 있는 모듈은 일반적으로 해당 업체의 서명이 포함된 위변조되지 않은, 무결성을 가진 프로그램이라고 인식하기 때문에 화이트리스트 기반 솔루션과 보안 장비 등을 우회하기에 상대적으로 용이하다"며 "공격자는 이 점을 노려 정상 보안 업체의 디지털 서명을 탈취, 공격에 악용하려 했던 것으로 보여진다"고 분석했다.
해당 보안 업체 관계자는 "30일 16시 경 해당 사실을 파악하고 1시간 내로 인증서를 폐기했다"며 "회사 차원에서 인증서가 유출된 것인지, 명의가 도용된 것인지는 확인되지 않았지만 피해 예방 차원에서 실시된 조치"라고 설명했다.
관련기사
- 소프트캠프, 부산서 CDR·공급망 보안 제품 소개 세미나 개최2019.07.31
- KT, PC·스마트폰 보안 강화하는 ‘PC안심2.0’ 출시2019.07.31
- 중소기업 위한 '악성링크 점검·웹 모니터링' 무료 서비스 등장2019.07.31
- 삼성 "QLED TV, 바이러스 검사하라"2019.07.31
업체 내부에서 코드서명 인증서가 탈취된 경우 심각한 보안 문제가 발생했을 수 있다는 전문가 진단도 나왔다. 문종현 ESRC 센터장은 "코드서명 인증서는 인감도장처럼 중요성이 크기 때문에 업체에서도 보관에 만전을 기하려 할 것"이라며 "(보안 수준이 높은)개발 관련 네트워크에 인증서가 존재했을 가능성이 큰데, 인증서가 탈취됐다면 시스템 전체가 해킹됐을 가능성도 합리적으로 의심해볼 수 있다"고 언급했다.
ESRC는 해당 악성코드가 지난 2016~2017년에 걸쳐 국내 공공·금융기관에 지능형지속위협(APT) 공격을 수행했던 조직이 사용한 커스텀 암호화 알고리즘을 그대로 사용하고 있다고 봤다. 2016년 발생한 국방 내부망 해킹, 국내 보안업체 대상 코드서명 인증서 해킹에 사용된 코드와도 유사하다고 밝혔다. 국방 내부망 해킹 사건 당시 국방부는 사건 배후에 대해 북한 소행으로 추정했다.