중국 기반 해킹 조직, 서울 소재 기업들 코드서명 인증서 탈취!

2016-03-22 14:42
  • 카카오톡
  • 네이버 블로그
  • url
시만텍, 코드서명 인증서 탈취하는 Suckfly 해킹 활동 주의...
인증서 탈취당한 기업들 피해 사실 몰라···인증서·키 보안 강화 필요


[보안뉴스 김태형] 최근 중국 기반 해킹 조직이 서울 소재 기업들을 대상으로 코드서명 인증서를 탈취한 것으로 조사됐다. 인증서를 탈취당한 기업들은 피해 사실을 몰라, 인증서 및 관련 키 보안에 각별한 주의가 필요하다.


글로벌 사이버 보안 분야를 선도하는 시만텍(www.symantec.com)이 코드서명 인증서를 탈취하는 석플라이(Suckfly) APT(지능형지속위협) 공격 조직에 대한 조사 내용을 발표하며, 기업들의 각별한 주의를 당부했다. 이 조직은 유효한 코드서명 인증서를 훔쳐 다수의 정부 기관과 기업을 대상으로 표적 공격을 했는데, 탈취한 인증서의 출처가 서울 소재의 기업들인 것으로 드러났다.

시만텍은 ‘석플라이(Suckfly)’라는 공격 조직이 탈취한 다수의 인증서, 해킹 툴 및 맞춤형 악성코드를 이용해 대규모 표적 공격을 하고 있다는 사실을 밝혀냈다. 이 조직은 2년간 전세계 다수의 정부 기관 및 기업을 대상으로 표적 공격을 시작하기 전, 사전 공격을 통해 코드서명 인증서를 확보했다.

‘코드서명(code-signing)’이란 온라인 환경에서 배포되는 실행 파일이 정당한 제작자에 의해 제작되었고 위·변조되지 않았음을 확인하는 방법이다. 기업은 코드서명 인증서를 통해 자사 소프트웨어와 파일의 보안 및 정품 인증을 강화하고, 사용자는 제작자의 인증서 및 배포된 실행 파일의 전자 서명을 검증해 실행 파일의 유효성을 확인할 수 있다. 통상적으로 코드서명이 있으면 출처를 믿을 수 있는 파일로 간주되는데, 이번에 석플라이 APT 조직의 활동이 드러나면서 정품 인증서가 악의적으로 사용될 수도 있는 것으로 밝혀졌다. 기업들이 인증서 보안의 중요성에 더욱 주목해야 하는 이유다.

시만텍은 2015년 말 디지털로 서명된 해킹 툴을 처음 탐지했는데 이 때 사용된 인증서가 우리나라 소재의 모바일 소프트웨어 개발업체와 연관된 것으로 나타났다. 이 회사의 인증서로 서명된 다른 파일을 조사한 결과, 동일한 인증서를 사용해 서명한 3개의 해킹 툴이 추가로 발견됐다. 확인된 해킹 툴은 훔친 인증서로 서명되었을 뿐만 아니라, 인도에 있는 미국 의료 서비스 제공업체를 겨냥한 의심스러운 활동에 사용됐다. 따라서 인증서의 합법적인 소유 기업이 인증서를 오용했거나 도난당했을 가능성이 있다고 보여졌다.

시만텍이 후속 조사를 통해 악성 트래픽의 진원지를 추적해 동일한 인프라를 사용했다는 증거를 확보했고, 공격 활동이 3개의 각기 다른 IP 주소에서 발생했다는 사실을 발견했다. 3개 IP 주소의 소재지는 모두 중국 청두였다. 이밖에도 시만텍은 9개의 훔친 인증서를 사용해 서명한 일련의 해킹 툴과 악성코드를 확인한 결과, 이 9개의 탈취 인증서의 출처가 서울 중심부에 근접한 곳에 위치한 9개의 각기 다른 회사로 나타났다. 인증서의 탈취 과정은 정확하게 알 수 없지만, 기업 내부에서 인증서를 찾아 빼낼 수 있는 악성코드에 감염되었을 가능성이 크다.

국내 기업들이 언제 인증서를 탈취당했는지 정확한 날짜는 알 수 없지만, 해킹 툴이나 악성코드와 한 쌍을 이룬 인증서를 처음 발견한 날짜를 분석함으로써 인증서가 탈취된 시간을 예상할 수 있다. 탈취된 인증서는 1년 넘게 공격에 사용된 경우도 있었는데, 해당 기업은 자사 인증서가 도난당했다거나 악의적으로 이용되고 있는지를 알지 못했다. 탈취 자체를 몰랐기 때문에 인증서는 폐기되지 않았고, 계속 공격에 사용됐다.


▲ 탈취한 인증서 소유 기업의 산업별 분류(숫자는 고유 해시값을 가진 서명의 파일 수)

탈취한 인증서의 소유 기업은 소프트웨어 개발, 비디오 게임 개발, 엔터테인먼트 및 미디어, 금융 서비스 등 4개의 산업군에 분포되어 있는 것으로 확인되었다. 또한, 시만텍은 석플라이가 다수의 해킹 툴과 악성코드를 포함하고 있음을 알아냈다.

석플라이는 맞춤형 백도어를 사용했는데, 이는 석플라이가 사이버스파이 공격을 위해 직접 개발한 것으로 보여진다. 시만텍은 이 맞춤형 백도어를 ‘백도어.니디란(Backdoor.Nidiran)’으로 명명했다. 석플라이 공격 조직은 전략적 웹 감염을 통해 니디란 백도어를 전달했는데, 직접 제작한 웹 페이지를 이용해 특정 MS 윈도우 버전에 영향을 미치는 MS 윈도우 OLE 원격 코드 실행 취약점(CVE-2014-6332)을 배포했다. 이 윈도우 취약점은 사용자가 인터넷 익스플로러를 이용해 악성 페이지를 방문할 때 감염되는데, 공격자는 로그인 사용자와 동일한 권한으로 코드를 실행할 수 있다.


▲ 기능별 석플라이 해킹 툴과 악성코드(숫자는 고유 해시값을 가진 서명의 파일 수)

코드서명 인증서 탈취 사례 증가···기업들의 주의 필요
석플라이 공격그룹이 지금까지 인증서를 사용해 악성코드를 서명한 유일한 조직은 아니지만 가장 많은 인증서를 수집한 조직일 수 있다. 세계 최초의 사이버무기로 알려진 스턱스넷(Stuxnet)은 석플라이보다 훨씬 이전에 대만 소재 기업에서 훔친 인증서를 서명에 이용했다. 블랙 바인(Black Vine), 히든 링스(Hidden Lynx) 등 다른 사이버스파이 조직 역시 훔친 인증서를 공격에 사용했다.

코드서명 인증서로 악성코드를 서명하려는 시도가 더욱 빈번하게 일어나는 이유는 인터넷과 보안 시스템이 점차 신뢰 및 평판 지향 모델로 이동하고 있기 때문이다. 앞으로 신뢰할 수 없는 소프트웨어의 경우, 서명이 없을 경우에는 실행 허가를 받을 수 없게 될 수도 있다. 이전에 시만텍이 애플 위협 환경을 조사한 결과를 보면, 맥 OS X와 같은 일부 운영체제는 유효한 인증서로 서명이 되어 있는, 즉 신뢰할 수 있는 애플리케이션에 한해서만 실행을 허용하도록 기본 설정이 되어 있다. 그러나 공격자들이 긍정적인 평판을 가진 기업에서 유효한 코드서명 인증서를 탈취해 사용한다면, 해당 기업의 신뢰도에 편승해서 더욱 쉽게 보안 시스템을 통과해 표적 컴퓨터에 접근할 수도 있다.

시만텍코리아 제품기술본부 윤광택 상무는 “공격자들은 탈취한 인증서를 악성코드의 코드서명에 악용함으로써 이를 서명한 해당 기업의 평판이 큰 타격을 받게 된다. 또한, 도난당한 코드서명이 사용된 모든 파일을 새로운 코드서명 인증서로 서명을 하고 재배포 하려면 많은 비용이 발생한다”며 “악성코드 유포자들이 유효한 코드서명을 악용하기 위해 코드서명 인증서를 노리고 있는 만큼, 기업들의 각별한 주의가 필요하다”고 말했다.

시만텍은 지난 몇 년간 코드서명 인증서를 탈취해 적법한 파일이나 애플리케이션으로 위장한 사이버범죄 사례들을 다수 발견했다. 이러한 공격 양상이 증가할수록 기업은 강력한 사이버보안 태세를 유지하고, 인증서 및 이와 연관된 키를 안전한 환경에 저장하는 것이 그 어느 때보다 중요하다. 암호화나 시만텍의 EV(Extended Validation) 코드 서명 및 시만텍의 시큐어 앱 서비스 등은 한층 강화된 보안을 제공한다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 알티솔루션

    • 인콘

    • 엔텍디바이스코리아

    • 마이크로시스템

    • TVT코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 지오멕스소프트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 다후아테크놀로지코리아

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 비전정보통신

    • 인텔리빅스

    • 경인씨엔에스

    • 세연테크

    • 성현시스템

    • 한결피아이에프

    • 유니뷰코리아

    • 디비시스

    • 프로브디지털

    • 스피어AX

    • 투윈스컴

    • 트루엔

    • 한국씨텍

    • 위트콘

    • 유에치디프로

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 제이슨

    • 라온시큐어

    • 시만텍

    • 유니닥스

    • 사이버아크

    • 한국IBM

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 유투에스알

    • 에이앤티코리아

    • 네티마시스템

    • 태정이엔지

    • 에이티앤넷

    • (주)일산정밀

    • 주식회사 에스카

    • 두레옵트로닉스

    • 넥스텝

    • 모스타

    • 에이앤티글로벌

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 엘림광통신

    • 보문테크닉스

    • 지와이네트웍스

    • 티에스아이솔루션

    • 구네보코리아주식회사

    • 동양유니텍

    • 엔에스티정보통신

    • 엔시드

    • 포커스에이치앤에스

    • 메트로게이트
      시큐리티 게이트

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기