서울중앙지검 합수단, 신속한 조치로 피해 확산 방지

[보안뉴스 김태형] 올해 초 국내 한 보안업체의 코드서명 인증서를 해킹한 사건은 북한 소행인 것으로 드러났다. 서울중앙지검 개인정보범죄 정부합동수사단(단장 손영배, 이하 합수단)은 북한 해킹 조직이 금융정보보안업체 ‘이니텍’의 코드서명(code signing)이 탑재된 전자인증서를 탈취·위조해 10개 국내 기관 19개 컴퓨터(PC)에 악성프로그램을 유포했다고 31일 밝혔다.


▲ 코드서명 해킹 사건 개요도

코드서명은 인터넷에서 배포·유통되는 프로그램이 위·변조되지 않은 정당한 제작자에 의한 정품이라는 표시로, 허용되지 않은 코드서명이 들어 있으면 프로그램의 설치를 차단해 악성코드 등이 유포되는 것을 차단한다.

합수단은 북한 해킹 조직이 ‘정보보안업체의 서명이 담긴 프로그램이 안전하다’는 점을 악용해 북측이 정보탈취 등 해킹에 필요한 악성프로그램을 유포하기 위해 전자인증서를 탈취하고 이를 이용해 국내 주요 전산망 마비 등의 사회 혼란을 노린 것으로 분석했다.

하지만 합수단은 유관기관과 합의해 악성프로그램을 이용한 해킹시도 이전에 탈취된 전자인증서를 무효화하고 악성프로그램에 감염된 PC를 전수 조사해 삭제하는 한편, 백신업체에 관련 정보를 제공해 백신프로그램을 업데이트하도록 조치해 실제 피해로 이어진 사례는 없는 것으로 확인됐다고 밝혔다.

합수단 수사 결과, 지난해 11월 경 금융보안 전문업체의 전산서버가 해킹되어 내부자료 탈취가 가능하도록 악성프로그램이 설치됐고 지난해 12월에서 올 1월 사이 해당서버에 접속한 직원 PC에 악성프로그램이 전파되어 해당 PC에 저장돼 있던 이 회사의 코드사인 인증서가 유출됐다.

이후 지난 2월경 이 회사의 코드서명 인증서를 이용해 이 회사의 정상 프로그램으로 가장한 악성프로그램이 모 학술단체 홈페이지 운영서버에 접속한 10개 기관 PC 총19대에 동일 악성코드 프로그램이 유포됐다. 해당 악성 프로그램은 저장정보를 탈취하거나 다른 악성 프로그램의 추가 설치를 가능하게 하는 등의 기능을 수행한다.

합수단에 의하면, 지난해 11월 30일부터 올 1월 28일까지 북한 소재 IP에서 이 회사 서버에 총 26회 접속한 흔적을 확인했으며 이 악성프로그램을 명령하고 제어하는 서버에 북한 소재 IP가 총 6회 접속한 것도 밝혔다. 또한 이 회사 직원 사내 이메일로 악성프로그램을 탑재한 ‘남북통일에 대함’이라는 제목의 이메일이 발송됐고 해당 악성프로그램 명령제어 서버 도메인이 북한(DPRK)과 관련된 ‘dprk.hdskip.com’로 드러났다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>