8일 빛스캔은 미국 호스팅업체의 서버에서 국내에서 이용되는 공인인증서 6947건을 발견했다고 밝혔다. 이는 공격자의 명령제어(C&C) 서버를 역추적한 결과 밝혀졌으며, 해당 C&C서버는 악성코드 유포를 비롯해 감염된 PC를 조작할 수 있는 기능도 탑재된 것으로 나타났다.

6900여건의 공인인증서는 ‘웹사이트 해킹으로 악성링크 삽입→사용자의 웹사이트 접속→사용자PC 감염→공인인증서 유출’의 순서를 거친 것으로 조사됐다.

우선 공격자는 많은 사용자들이 방문하는 웹사이트를 물색한 뒤 SQL인젝션, 크로스사이트스크립트(XSS)와 같은 웹취약점 여부를 파악한다. 웹사이트에 취약점이 발견되면 이를 악용해 악성코드를 자동으로 내려받을 수 있도록 만든 악성링크를 삽입한다. 이른바 드라이브바이다운로드(DBD) 공격이다.

사용자가 악성링크가 삽입된 웹사이트에 접속하면 즉시 악성코드를 내려받게 되고, 공인인증서와 같은 중요 파일을 압축해 공격자의 C&C 서버로 전송하게 된다. 이번에 발견된 악성코드는 자바(JAVA), 어도비 플래시 등에 존재하는 취약점을 악용하며 사용자PC의 하드디스크 등을 탐색한 뒤 ‘NPKI’ 폴더를 통째로 압축해 외부로 유출한다.

전상훈 빛스캔 이사는 “이번 사건에서 주목할 점은 단 일주일만에 공인인증서 6900여건이 유출됐다는 점”이라며 “지난해 공인인증서 유출 건수가 777건인데 반해 약 10배 증가했다. 특히 C&C서버가 악성코드 배포와 동시에 PC에 대한 제어를 할 수 있도록 설계된 것에 주목해야 한다. 공격자는 우리의 예상보다 더 거대하고, 대규모 단위로 움직이고 있을 것”이라고 설명했다.

이번에 발견된 악성코드는 정보공유가 완료돼 시중의 백신을 통해 치료할 수 있다. 아울러 공인인증서를 PC에 보관할 경우 외부로 유출될 가능성이 높아지므로 되도록 외부저장매체나 보안토큰 등을 사용하는 것이 안전하다. 특히 키(공인인증서 암호) 관리에도 충실하는 것이 중요하다. 운영체제, 소프트웨어, 백신을 최신 업데이트로 유지하는 것도 사고를 예방할 수 있는 방법 중 하나다.

전 이사는 “이러한 사고의 근본적인 해결을 위해서는 웹을 통한 악성코드 유포, 감염을 관찰하고 조기에 대응할 수 있도록 관련업계의 각별한 노력이 필요하다”고 전했다.

<이민형 기자>kiku@ddaily.co.kr