지난 19일 한국인터넷진흥원(KISA)에 따르면 최근 핸디소프트 그룹웨어의 코드서명에서 악성코드가 발견돼 조사를 진행하고 있다. 수법도 이니텍 때와 동일하다.

당시, 해킹 조직은 이니텍의 전산서버를 해킹한 후 악성프로그램을 설치했다. 이후 전자인증서를 유출, 이니텍의 코드서명을 탑재한 악성프로그램을 만들어 국세청·국토교통부·서울시청 등 10개 기관에 유포했다.

KISA 관계자는 “19일 핸디소프트에 대한 조사에 착수했다”며 “이니텍 때와 달리 업데이트 서버가 없다는 점에서 파급력 있는 큰 사건으로 번지지는 않을 것으로 보이며, 확인된 실제 피해 발생 부분은 아직까지는 없다”고 말했다.

이니텍 때는 최신 버전을 업데이트 받기 위해 인증서를 온라인으로 배포한다. 이를 위해서는 업데이트 서버가 필요하다. 해킹 조직은 이 서버에 가짜 프로그램을 올려놓거나 악성코드 유포에 활용한다. 그런데, 핸디소프트에는 이러한 업데이트 서버가 없다는 설명이다. 핸디소프트에 따르면, 직접 담당자가 해당 기업에 방문해 업데이트를 진행한다.

그럼에도 이번 사건은 지속되는 코드서명 탈취 공격에 대한 기업들의 보안의식 부재를 드러낸다. 디지털 인감도장과도 같은 코드서명을 제대로 관리하지 못하고 있었기 때문이다.

코드서명(code-signing)은 온라인 환경에서 배포되는 실행 파일이 정당한 제작자에 의해 제작됐고 위·변조되지 않았는지 확인하는 방법이다. 기업은 코드서명 인증서를 통해 자사 소프트웨어(SW)와 파일의 보안 및 정품 인증을 강화하고, 사용자는 제작자의 인증서 및 배포된 실행 파일의 전자 서명을 검증해 실행 파일의 유효성을 확인한다.

믿을 수 있는 코드서명은 신뢰할 수 있는 파일로 여겨진다. 이 때문에 사이버공격자들은 코드서명을 탈취한 후 악성코드를 감염시킨다. 해당 전자인증서는 사이버공격자들로 인해 변조됐으나, 마치 믿을 수 있는 곳에서 만든 SW처럼 보이게 만든다.

보안업계 관계자는 “사이버공격자들이 표적공격을 할 때 항상 이용되는 방식이 코드서명 탈취 후 악성코드를 감염시키는 것”며 “코드서명이 없는 것에 대해 의심을 하니까, 이를 우회하려는 방식으로 이용된다”고 설명했다.

이어 “키 관리를 기업들이 개별적으로 하고 있는데, 제대로 관리할 수 있을 정도로 보안정책을 운영하지 못하고 있다”고 덧붙였다.

한편, 핸디소프트 측은 “현재까지 발견된 피해 사례는 없다”며 “그룹웨어 고객사를 대상으로 지난주 새 인증서를 발급 완료했다”고 전했다.

<최민지 기자>cmj@ddaily.co.kr