코드서명 인증서 탈취하는 해킹 그룹 출현… 국내 기업 인증서도 악용됐다

[IT동아 이상우 기자] 시만텍이 코드서명 인증서를 탈취하는 석플라이(Suckfly) APT 공격 조직에 대한 조사 내용을 발표하며, 기업들의 각별한 주의를 당부했다. 이 조직은 유효한 코드서명 인증서를 훔쳐 다수의 정부 기관과 기업을 대상으로 표적 공격을 했는데, 탈취한 인증서의 출처가 서울 소재의 기업들인 것으로 드러났다.

'코드서명(code-signing)'이란 온라인 환경에서 배포되는 실행 파일이 올바른 제작자에 의해 제작됐고 위·변조되지 않았음을 확인하는 방법이다. 기업은 이를 통해 출처를 믿을 수 있는 파일로 간주하는데, 이번에 석플라이 APT 조직의 활동이 드러나면서 정품 인증서가 악의적으로 사용될 수도 있는 것으로 밝혀졌다.

시만텍은 2015년 말 디지털로 서명된 해킹 툴을 처음 탐지했는데 이 때 사용된 인증서가 우리나라 소재의 모바일 소프트웨어 개발업체와 연관된 것으로 나타났다. 이 회사의 인증서로 서명된 다른 파일을 조사한 결과, 동일한 인증서를 사용해 서명한 3개의 해킹 툴이 추가로 발견됐다. 확인된 해킹 툴은 훔친 인증서로 서명되었을 뿐만 아니라, 인도에 있는 미국 의료 서비스 제공업체를 겨냥한 의심스러운 활동에 사용됐다. 따라서 인증서의 합법적인 소유 기업이 인증서를 오용했거나 도난 당했을 가능성이 있다고 보여졌다.

국내 기업이 언제 인증서를 탈취당했는지 정확한 날짜는 알 수 없지만, 해킹 툴이나 악성코드와 한 쌍을 이룬 인증서를 처음 발견한 날짜를 분석해 인증서가 탈취된 시간을 예상할 수 있다. 탈취된 인증서는 1년 넘게 공격에 사용된 경우도 있었는데, 해당 기업은 자사 인증서가 도난 당했다거나 악의적으로 이용되고 있는지를 알지 못했다. 탈취 자체를 몰랐기 때문에 인증서는 폐기되지 않았고, 계속 공격에 사용됐다.

석플라이 공격 그룹이 지금까지 인증서를 사용해 악성코드를 서명한 유일한 조직은 아니지만, 가장 많은 인증서를 수집한 조직일 수 있다. 세계 최초의 사이버무기로 알려진 스턱스넷(Stuxnet)은 석플라이보다 훨씬 이전에 대만 소재 기업에서 훔친 인증서를 서명에 이용했다. 블랙 바인(Black Vine), 히든 링스(Hidden Lynx) 등 다른 사이버스파이 조직 역시 훔친 인증서를 공격에 사용했다.

코드서명 인증서로 악성코드를 서명하려는 시도가 더욱 빈번하게 일어나는 이유는 인터넷과 보안 시스템이 점차 신뢰 및 평판 지향 모델로 이동하고 있기 때문이다. 앞으로 신뢰할 수 없는 소프트웨어의 경우, 서명이 없을 경우에는 실행 허가를 받을 수 없게 될 수도 있다. 이전에 시만텍이 애플 위협 환경을 조사한 결과를 보면, 맥 OS X와 같은 일부 운영체제는 유효한 인증서로 서명이 되어 있는, 즉 신뢰할 수 있는 애플리케이션에 한해서만 실행을 허용하도록 기본 설정이 되어 있다. 그러나 공격자들이 긍정적인 평판을 가진 기업에서 유효한 코드서명 인증서를 탈취해 사용한다면, 해당 기업의 신뢰도에 편승해서 더욱 쉽게 보안 시스템을 통과해 표적 컴퓨터에 접근할 수도 있다.

시만텍코리아 윤광택 상무는 "공격자는 탈취한 인증서를 악성코드의 코드서명에 악용했으며, 이를 서명한 해당 기업의 평판이 큰 타격을 받았다. 또한, 도난 당한 코드서명이 사용된 모든 파일을 새로운 코드서명 인증서로 서명을 하고 재배포 하려면 많은 비용이 발생한다"며 "악성코드 유포자들이 유효한 코드서명을 악용하기 위해 코드서명 인증서를 노리고 있는 만큼, 기업들의 각별한 주의가 필요하다"고 말했다.

글 / IT동아 이상우(lswoo@itdonga.com)