글로벌인증기관 한국전자인증(대표 신홍식)은 코드서명 인증서 유출 사고 방지를 위한 확장 유효성(EV) 코드서명 인증서 도입 캠페인을 실시한다고 8일 밝혔다.
코드서명 인증서는 최종 사용자가 수신한 코드가 제3자에 의해 변경되거나 손상되지 않았음을 소프트웨어 개발사가 확인해주는 수단이다. 응용프로그램, 드라이버와 소프트웨어 프로그램에 디지털 서명으로 사용된다. 서명, 회사명과 원하는 경우 타임 스탬프가 포함된다.
한국전자인증은 최근 국내 보안 기업의 코드서명 인증서를 악용한 악성코드가 발견됨에 따라 한국인터넷진흥원(KISA)이 조사에 착수한 것과 관련, 기업들의 불안감이 높아지고 있다고 설명했다. 코드서명 인증서가 유출돼 악성 프로그램에 담겨 배포되면, 이용자가 악성 프로그램을 내려받을 위험성이 커진다는 것.
회사는 EV 코드서명 인증서 이용을 권장했다. EV 코드서명 인증서는 철저한 검증 과정을 거쳐 미국 연방정부 정보처리 표준(FIPS) 140-2로 보호되는 하드웨어보안모듈(HSM)에 발급된다. HSM 내 PC와는 물리적으로 분리된 실행 환경을 통해 코드서명을 수행한다.
한국전자인증은 코드사인 인증서 관리 체계 강화 방안도 제시했다. 글로벌 수준의 업무분장 관리 체계를 수립하고 코드서명 인증서 발급 후에는 관리와 사용을 엄격히 구분, 통제해 외부 위험을 최소화해야 한다고 강조했다. KISA의 ‘코드서명 인증서 보안가이드’ 참고도 권장했다.
관련기사
- 국내 보안 업체 '코드서명 인증서' 담긴 악성파일 발견2019.08.08
- 디지서트, 한국 특화 솔루션으로 고신뢰 인증서 시장 공략2019.08.08
- 디지서트 "한국 시만텍 인증서 6천개 교체 완료"2019.08.08
- 650억원 규모 공인인증 시장 '대변혁'2019.08.08
회사는 체계적인 인증서 관리자와 사용자 권한 분리, 매체 분리, 관리 대장을 통한 이력 관리로 내부 통제를 강화하고 있다고 밝혔다.
홍종하 한국전자인증 글로벌인증 본부장은 “코드서명 인증서는 보안 담당자가 철저한 보안관리 의식을 가지고 관리 감독을 해야 한다"며 "EV코드서명 인증서를 도입하면 인증서 유출 방지는 물론 고객의 신뢰도도 높일 수 있다”고 말했다.
