침해사고/위협동향

또 터진 코드서명 탈취공격, 알서포트 “기존 인증서 폐기”

최민지
[디지털데일리 최민지기자] 또 다시 전자인증서(코드서명) 유출이 발생했다. 해커들의 코드서명 유출 공격이 반복되고 있는 가운데 피해사례는 계속 나타나고 있어 인증서 관리 소홀 문제가 부각되고 있다.

원격지원·원격제어 솔루션 전문기업인 알서포터는 지난달 내부 상시 보안점검 중 인증서가 외부로 유출된 징후를 파악해 지난 6일 기존 인증서를 폐기하고 신규 인증서로 대체한다고 공지했다.

이는 사내 PC 1대가 악성코드에 감염돼 파일 무결성 검증을 위한 코드서명 인증서가 유출된 사건으로, 한국인터넷진흥원(KISA)에서 감염경로를 추적하고 있다.

이날 알서포트는 공지를 통해 “안전한 서비스 유지와 선제적 보안 조치를 완료했고, 사전예방 조치를 더욱 강화해 보안에 문제가 없음을 확인했다”며 “이번 유출에 따른 피해는 전무한 것으로 확인되고 있으며, 외부 보안전문기업을 통해 정기·수시 보안점검을 실시하고 있다”고 전했다.

그러나 보안업계에서는 이번 코드서명 인증서 유출로 인해 악성코드에 감염된 기관이 있는 것으로 보고 있다. 해커는 코드서명 인증서 탈취 후 악성코드를 숨겼고, 신뢰할 수 있는 기관에서 배포한 것처럼 속였다. 이러한 공격기법은 과거에도 여러 번 발견됐다. 대표적으로 이니텍과 핸디소프트를 예로 들 수 있다.

해커들은 이니텍 전산서버를 해킹한 후 악성프로그램을 설치했고 전자인증서를 유출해 이니텍 코드서명을 탑재한 악성프로그램을 만들어 국세청·국토교통부·서울시청 등 10개 기관에 유포한 바 있다. 지난해 핸디소프트의 경우, 이니텍 사건과 달리 업데이트 서버가 없었지만 공격수법은 동일했다.

소프트웨어를 개발하고 배포할 때 코드서명 인증서를 통해 정품을 인증하고 정당한 제작자에 의해 실행파일이 제작됐음을 증명한다. 이러한 코드서명은 신뢰성과 직결된다. 해커들이 코드서명을 탈취해 악성코드를 감염시켰음에도, 믿을 수 있는 소프트웨어처럼 보이는 이유다.

보안업계 관계자는 “신뢰할 수 있는 기관이 배포했다고 생각했는데, 실제로는 해커가 악성코드를 숨겨놓은 셈”이라며 “이니텍 등의 사례를 봤을 때 코드서명은 해커들이 잘 노리는 공격으로, 인증서를 철저히 관리해야 한다”고 강조했다.

이어 “이번 사건에서도 인증서 관리 과정에서 허점이 있을 수 있으며, 그럴 경우 알서포트 측의 과실로 볼 수 있을 것”이라고 덧붙였다.

<최민지 기자>cmj@ddaily.co.kr
최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널