중국 해킹조직이 서울에 위치한 모바일 소프트웨어 개발사가 관리하는 코드서명용 인증서와 개인키를 훔쳐 악용한 사실이 확인됐다.
시만텍은 코드서명용 인증서와 개인키를 훔쳐내는 해킹조직인 일명 '석플라이(Suckfly)'가 국내 기업들을 대상으로 공격을 시도했다고 22일 밝혔다.
코드서명은 온라인 상에서 배포되는 프로그램이 해당 회사가 제공하는 것이 맞는지를 증명하기 위해 쓰이는 일종의 온라인 인감도장 역할을 한다.
문제는 코드서명용 인증서와 개인키가 유출됐을 경우 피해자들이 그 회사를 사칭해 유포되는 악성파일을 의심없이 설치할 수 있게 된다는 점이다. 실제로 최근 국내 보안회사를 대상으로 이러한 해킹사고가 발생하기도 했었다.
시만텍은 지난해 말 피해를 입은 회사가 전자서명(코드서명)한 해킹툴을 탐지했다. 여기 사용된 인증서가 국내 모바일 소프트웨어 개발업체와 연관돼 있었다는 설명이다.
이 회사 인증서로 서명된 다른 파일을 조사한 결과, 동일한 인증서를 사용해 전자서명한 3개의 해킹툴이 추가로 발견됐다. 확인된 해킹툴은 훔친 인증서로 전자서명돼 인도에 있는 미국 의료 서비스 제공업체를 겨냥한 의심스러운 활동에 악용됐다.
시만텍은 후속 조사를 통해 악성 트래픽의 진원지를 추적해 동일한 인프라를 사용했다는 증거를 확보했고, 공격활동이 3개의 각기 다른 IP주소에서 발생했다는 사실을 발견했다. 3개 IP 주소의 소재지는 모두 중국 청두였다.
이밖에도 공격자들이 훔친 9개의 훔친 인증서와 개인키를 악용해 전자서명한 해킹툴과 악성코드를 확인한 결과, 출처가 서울 중심부에 근접한 곳에 위치한 9개 서로 다른 회사였던 것으로 나타났다. 인증서의 탈취 과정은 정확하게 알 수 없으나 기업 내부에서 인증서를 찾아 빼낼 수 있는 악성코드에 감염됐을 가능성이 크다는 설명이다.
심각한 점은 피해를 입은 국내 기업들이 인증서와 개인키가 탈취됐다는 사실을 1년 넘게 모르고 있는 경우도 있었다는 점이다. 기존에 발급한 인증서를 폐기하고 재발급하는 조치가 이뤄지지 않아 공격에 지속적으로 악용됐다.
이러한 피해를 입은 기업들은 소프트웨어 개발, 비디오 게임 개발, 엔터테인먼트, 미디어, 금융 서비스 등 4개의 산업군으로 분류된다.
시만텍에 따르면 이렇게 훔쳐낸 코드서명 인증서, 개인키를 악용해 악성파일을 전자서명하려는 시도가 자주 일어나는 이유는 인터넷과 보안 시스템이 점차 신뢰, 평판 기반 모델로 이동하고 있기 때문이다.
관련기사
- 보안업체 노린 해킹 기승...왜?2016.03.22
- 시만텍, 모든 웹사이트 암호화 프로젝트 가동2016.03.22
- 시만텍, APT 공격 대응...요람서 무덤까지 책임진다2016.03.22
- 보안업체 코드서명 정보 유출, 파장은?2016.03.22
신뢰할 수 없는 소프트웨어나 전자서명이 없을 경우에는 시스템 내에서 실행을 제한하는 경우가 늘고 있기 때문이다. 문제는 이러한 점을 역이용해 악성파일을 마치 해당 기업이 안전하게 배포한 것처럼 위장하는 공격수법이 늘고 있다는 것이다.
시만텍코리아 제품기술본부 윤광택 상무는 "공격자들은 탈취한 인증서(개인키)를 악성코드의 코드서명에 악용할 경우 해당 기업의 평판에 큰 타격을 입을 수 있다"며 "도난 당한 코드서명이 사용된 모든 파일을 새로운 코드서명 인증서로 서명을 하고 재배포 하려면 많은 비용이 발생하기 때문에 각별한 주의가 필요하다"고 밝혔다.
