중국 기반 해킹 조직, 서울 소재 기업들의 코드서명 인증서 탈취
인증서 탈취 당한 기업들 피해 사실 몰라… 인증서 및 관련 키 보안에 각별한 주의 필요

시만텍(http://www.symantec.com)이 코드서명 인증서를 탈취하는 석플라이(Suckfly) APT(지능형지속위협) 공격 조직에 대한 조사 내용을 발표하며, 기업들의 각별한 주의를 당부했다.

‘코드서명(code-signing)’이란 온라인 환경에서 배포되는 실행 파일이 정당한 제작자에 의해 제작되었고 위·변조되지 않았음을 확인하는 방법이다. 통상적으로 코드서명이 있으면 출처를 믿을 수 있는 파일로 간주되는데, 이번에 석플라이 APT 조직의 활동이 드러나면서 정품 인증서가 악의적으로 사용될 수도 있는 것으로 밝혀졌다.

시만텍은 지난해 말 해킹툴을 처음 탐지했으며, 우리나라 소재의 모바일 소프트웨어 개발업체와 연관된 것으로 파악했다. 이 회사의 인증서로 서명된 다른 파일을 조사한 결과, 동일한 인증서를 사용해 서명한 3개의 해킹 툴이 추가로 발견했고 확인된 해킹 툴은 훔친 인증서로 서명되었을 뿐만 아니라, 인도에 있는 미국 의료 서비스 제공업체를 겨냥한 의심스러운 활동에 사용됐다고 밝혔다.

시만텍이 후속 조사를 통해 악성 트래픽의 진원지를 추적해 동일한 인프라를 사용했다는 증거를 확보했고, 공격 활동이 3개의 각기 다른 중국 쪽 IP 주소에서 발생했다는 사실을 발견했으며, 기업 내부에서 인증서를 찾아 빼낼 수 있는 악성코드에 감염되었을 가능성이 높다고 판단했다.

한편, 국내 기업들은 탈취된 인증서가 1년 넘게 공격에 사용된 경우에도 인지하지 못했으며, 심지어 탈취된 사실도 몰랐던 것으로 전해졌다.

시만텍코리아 제품기술본부 윤광택 상무는 “공격자들은 탈취한 인증서를 악성코드의 코드서명에 악용함으로써 이를 서명한 해당 기업의 평판이 큰 타격을 받게 된다. 또한, 도난 당한 코드서명이 사용된 모든 파일을 새로운 코드서명 인증서로 서명을 하고 재배포 하려면 많은 비용이 발생한다”며 “악성코드 유포자들이 유효한 코드서명을 악용하기 위해 코드서명 인증서를 노리고 있는 만큼, 기업들의 각별한 주의가 필요하다”고 말한 것으로 전해졌다.