금융권 침투 위한 교두보 확보 차원?...개인정보 유출위험 커져
[보안뉴스 호애진] 국내 인터넷 환경은 ‘공인인증서’라는 독자적인 보안인증 체계를 가지고 있으며, 이와 관련된 법에 따라 은행뿐만 아니라 증권, 보험, 세무, 국가 관련 계약 등 다양한 중요 업무에 인증서가 활용되고 있다.

공인인증서는 금융결제원 등 국내 6개 기관에서 발급 및 운영하고 있으며, 개인은 공인등록기관 및 대행기관에서 개인용 공인인증서를 발급받아 사용하거나 주거래 은행을 통해 발급받아 이용한다.

이러한 공인인증서 발급 기관 중 하나인 한국전자인증(http://www.crosscert.com/) 홈페이지에서 지난 주말 악성코드가 유포되는 사고가 발생했고, 19일 오전까지도 조치가 취해지지 않았던 것으로 확인됐다. 다만, 악성코드를 유포하는 실제 URL(hxxp://toxxxx.co.kr/com.xx)에 대한 접속이 이후 불가능해지면서 피해가 발생하진 않았다.
 



이를 최초 발견한 빛스캔(대표 문일준)은 “현재 유포된 악성코드를 분석 중에 있으며, 대부분 키보드 입력을 가로채 개인정보를 유출하는 키로깅 기능을 가진 것으로 추정된다”고 밝혔다.

빛스캔 PCDS에서 수집된 유포 URL에 대한 정보에 따르면, 최초 출현은 약 4주전인 10월 26일이며, 지난 주까지 약 65개 사이트(누적 포함)가 동일한 공격을 당한 것으로 파악되고 있다. 여기에 한국전자인증 웹사이트도 포함된다.
 



수년 전부터 현재까지 웹서버 해킹을 통한 공격은 주로 게임, 커뮤니티, 언론사 등과 같은 일반 사이트에 대한 공격이 주를 이루고 있었다. 키로거 등의 개인정보를 유출하는 악성코드를 설치하고, 이를 이용해 부가적인 수입을 거두는 형태로 진행돼 왔다.

최근에는 스마트폰 등을 활용해 가짜 은행 페이지로 사용자를 유도, 인증서 및 보안카드 정보를 빼내고 이를 통해 돈을 빼가는 피싱 공격이 대세를 이루고 있다.

이번 사고는 공격자가 인증서를 발급 또는 갱신하는 사용자를 공격의 주 대상으로 삼았다는 점, 그리고 인증서 자체를 해킹해 이를 빼내갈 수 있다는 점에서 큰 문제로 볼 수 있다.

빛스캔 측은 “은행 등을 통해 인증서를 발급받을 경우, 사용자는 보안에 대해 크게 신경쓰지 않고 접속하기 때문에 더욱 위험하다”면서 “은행에 접속하는 계정정보 또한 공격자에게 유출될 수 있다”고 우려를 표명했다.

한편, 현재 악성코드 유포를 확인할 수 있는 방법으로는 구글의 스탑배드웨어가 있으며, 다음과 같이 크롬 브라우저로 접속시에 경고메시지가 나타남을 확인할 수 있다.
 



한국전자인증(http://www.crosscert.com/)은 19일까지 구글 스탑배드웨어에서 경고 메시지가 나타났었지만, 현재는 삭제된 상태다. 하지만 진단 페이지에서는 동일하게 문제점이 있었음을 나타내고 있다.
 


[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>