국내기업 대상 코드서명 탈취공격 확산…시만텍, 중국 기반 해킹그룹 추적
- 탈취한 인증서로 서명된 해킹 툴·악성코드 공격 활동 발견
- SW·비디오게임·엔터테인먼트·미디어, 금융서비스 기업 등 인증서 탈취사실 몰라
[디지털데일리 이유지기자] 국내 기업을 대상으로 한 사이버 표적공격으로 유효한 코드서명 인증서가 탈취된 것으로 확인됐다.
시만텍은 코드서명 인증서를 탈취하는 공격조직인 ‘석플라이(Suckfly)’를 조사한 내용을 22일 발표하고 기업들의 각별한 주의를 당부했다.
시만텍(www.symantec.com)은 ‘석플라이’라는 공격조직이 유효한 코드서명 인증서, 해킹 툴과 맞춤형 악성코드를 이용해 다수의 정부기관과 기업을 대상으로 대규모 표적공격을 하고 있다는 사실을 밝혀냈다. 이들이 탈취한 인증서의 출처는 서울 소재 기업인 것으로 드러났다.
이 조직은 2년간 전세계 다수의 정부기관 및 기업을 대상으로 표적 공격을 시작하기 전, 사전 공격을 통해 코드서명 인증서를 확보했다.
‘코드서명(code-signing)’이란 온라인 환경에서 배포되는 실행 파일이 정당한 제작자에 의해 제작됐고 위·변조되지 않았음을 확인하는 방법이다. 기업은 코드서명 인증서를 통해 자사 소프트웨어(SW)와 파일의 보안 및 정품 인증을 강화하고, 사용자는 제작자의 인증서 및 배포된 실행 파일의 전자 서명을 검증해 실행 파일의 유효성을 확인할 수 있다.
통상 코드서명이 있으면 출처를 믿을 수 있는 파일로 간주되는데, 이번에 석플라이 지능형지속위협(APT) 조직의 활동이 드러나면서 정품 인증서가 악의적으로 사용될 수 있다. 기업들이 인증서 보안의 중요성에 더욱 주목해야 하는 이유이다.
최근 북한발 사이버공격 경보가 내려진 가운데 국내 금융보안SW의 코드서명 인증서가 해킹으로 탈취된 것으로 알려진 상황에서 나온 조사결과라는 점에서, 국내 기업들이 경각심을 갖고 인증서 보안 강화를 위한 조치를 수행해야 할 것으로 보인다.
◆탈취한 코드서명 인증서 출처는 서울 소재 기업들=시만텍은 2015년 말 디지털로 서명된 해킹 툴을 처음 탐지했다. 이 때 사용된 인증서가 우리나라 소재 모바일 SW 개발업체와 연관된 것으로 나타났다.
이 회사의 인증서로 서명된 다른 파일을 조사한 결과, 동일한 인증서를 사용해 서명한 3개의 해킹 툴이 추가로 발견됐다. 확인된 해킹 툴은 훔친 인증서로 서명되었을 뿐만 아니라, 인도에 있는 미국 의료 서비스 제공업체를 겨냥한 의심스러운 활동에 사용됐다. 따라서 인증서의 합법적인 소유기업이 인증서를 오용했거나 도난당했을 가능성이 있다고 판단됐다.
시만텍은 후속 조사를 실시하고 악성 트래픽의 진원지를 추적해 동일한 인프라를 사용했다는 증거를 확보했고, 공격 활동이 3개의 각기 다른 IP 주소에서 발생했다는 사실을 발견했다. 3개 IP 주소의 소재지는 모두 중국 청두였다. 이밖에도 시만텍은 9개의 훔친 인증서를 사용해 서명한 일련의 해킹 툴과 악성코드를 확인한 결과, 이 9개의 탈취 인증서의 출처가 서울 중심부에 근접한 곳에 위치한 9개의 각기 다른 회사로 나타났다.
인증서 탈취 과정은 정확하게 알 수 없지만, 기업 내부에서 인증서를 찾아 빼낼 수 있는 악성코드에 감염됐을 가능성이 크다.
◆인증서 도난당한 기업들 피해 사실 인지 못해=국내 기업들이 언제 인증서를 탈취 당했는지 정확한 날짜는 알 수 없다. 하지만 해킹 툴이나 악성코드와 한 쌍을 이룬 인증서를 처음 발견한 날짜를 분석해 인증서가 탈취된 시간을 예상할 수 있다.
탈취된 인증서는 1년 넘게 공격에 사용된 경우도 있었는데, 해당 기업은 자사 인증서가 도난당했다거나 악의적으로 이용되고 있는지를 알지 못했다. 탈취 자체를 몰랐기 때문에 인증서는 폐기되지 않았고, 계속 공격에 사용됐다.
탈취한 인증서의 소유 기업은 SW 개발, 비디오 게임 개발, 엔터테인먼트 및 미디어, 금융 서비스 등 4개의 산업군에 분포되어 있는 것으로 확인됐다.
또한 시만텍은 ‘석플라이’가 다수의 해킹 툴과 악성코드를 포함하고 있다는 것을 알아냈다.
‘석플라이’는 맞춤형 백도어를 사용했다. 이는 ‘석플라이’가 사이버스파이 공격을 위해 직접 개발한 것으로 시만텍은 보고 있다. 시만텍은 이 맞춤형 백도어를 ‘백도어.니디란(Backdoor.Nidiran)’으로 명명했다.
‘석플라이’ 공격조직은 전략적 웹 감염을 통해 니디란 백도어를 전달했는데, 직접 제작한 웹 페이지를 이용해 특정 마이크로소프트(MS) 윈도 버전에 영향을 미치는 MS 윈도 OLE 원격 코드 실행 취약점(CVE-2014-6332)을 배포했다. 이 윈도 취약점은 사용자가 인터넷 익스플로러를 이용해 악성 페이지를 방문할 때 감염되는데, 공격자는 로그인 사용자와 동일한 권한으로 코드를 실행할 수 있다.
◆코드서명 인증서 탈취 사례 증가, 기업들 주의 필요=시만텍은 ‘석플라이’ 공격그룹이 지금까지 인증서를 사용해 악성코드를 서명한 유일한 조직은 아니지만 가장 많은 인증서를 수집한 조직일 수 있다는 분석이다.
세계 최초의 사이버무기로 알려진 스턱스넷(Stuxnet)은 ‘석플라이’보다 훨씬 이전에 대만 소재 기업에서 훔친 인증서를 서명에 이용했다. 블랙 바인(Black Vine), 히든 링스(Hidden Lynx) 등 다른 사이버스파이 조직 역시 훔친 인증서를 공격에 사용했다.
코드서명 인증서로 악성코드를 서명하려는 시도가 더욱 빈번하게 일어나는 이유는 인터넷과 보안 시스템이 점차 신뢰 및 평판 지향 모델로 이동하고 있기 때문이다. 앞으로 신뢰할 수 없는 SW의 경우, 서명이 없을 경우에는 실행 허가를 받을 수 없게 될 수도 있다.
이전에 시만텍이 애플 위협 환경을 조사한 결과를 보면, 맥 OS X와 같은 일부 운영체제는 유효한 인증서로 서명이 돼 있는, 즉 신뢰할 수 있는 애플리케이션에 한해서만 실행을 허용하도록 기본 설정이 돼 있다. 그러나 공격자들이 긍정적인 평판을 가진 기업에서 유효한 코드서명 인증서를 탈취해 사용한다면, 해당 기업의 신뢰도에 편승해서 더욱 쉽게 보안 시스템을 통과해 표적 컴퓨터에 접근할 수도 있다.
시만텍코리아 제품기술본부 윤광택 상무는 “공격자들은 탈취한 인증서를 악성코드의 코드서명에 악용함으로써 이를 서명한 해당 기업의 평판이 큰 타격을 받게 된다. 또한 도난당한 코드서명이 사용된 모든 파일을 새로운 코드서명 인증서로 서명을 하고 재배포 하려면 많은 비용이 발생한다”며 “악성코드 유포자들이 유효한 코드서명을 악용하기 위해 코드서명 인증서를 노리고 있는 만큼, 기업들의 각별한 주의가 필요하다”고 말했다.
한편, 시만텍은 지난 몇 년간 코드서명 인증서를 탈취해 적법한 파일이나 애플리케이션으로 위장한 사이버범죄 사례들을 다수 발견했다.
이러한 공격 양상이 증가할수록 기업은 강력한 사이버보안 태세를 유지하고 인증서와 이와 연관된 키를 안전한 환경에 저장하는 것이 매우 중요하다.
암호화나 시만텍의 EV(Extended Validation) 코드서명, 시만텍의 시큐어 앱 서비스 등은 한층 강화된 보안을 제공한다고 회사측은 설명했다.
<이유지 기자>yjlee@ddaily.co.kr
[IT위클리템] 소비자 니즈 충족…캐논 '셀피 포토프린터', WD '콘솔용 SSD' 출시
2024-11-16 14:11:51[尹정부 ICT점검] ‘디지털정부 1위’ 성과 이면에 장애대응·격차해소 과제로
2024-11-16 10:39:44임종훈 대표, 한미사이언스 주식 105만주 매각… 상속세 납부 목적, 이면에 불가피한 속사정?
2024-11-15 18:04:20최윤범 고려아연 회장 “이사회 의장직 내려놓겠다”… 삼성∙보잉 사례 참고했나
2024-11-15 17:19:23[DD퇴근길] 네이버 밴드, 美 MAU 600만 돌파…IT서비스업계, 연말인사 포인트는
2024-11-15 16:53:04