“정품 SW 인증서 이용 APT 발견…서울 소재 기업 타깃”
상태바
“정품 SW 인증서 이용 APT 발견…서울 소재 기업 타깃”
  • 김선애 기자
  • 승인 2016.03.22 13:44
  • 댓글 0
이 기사를 공유합니다

시만텍, 코드사이닝 탈취해 공격하는 ‘석플라이’ 조직 발견

최근 공인인증서 배포 모듈이 위조돼 악성코드가 삽입된 가짜 보안 모듈이 배포된 사고가 발견돼 전 사회적인 문제로 발전한 바 있다. 이 사고로 인해 코드사이닝의 중요성이 환기된 바 있으나, ‘북한 소행’ 등 정치적인 이슈로 전환되면서 문제의 본질이 흐려지고 말았다.

이번에는 국내 기업의 인증서가 탈취돼 해킹에 이용되는 정황이 발견돼 코드사이닝의 중요성에 대한 경고가 다시 발생했다. 시만텍이 발견한 ‘석플라이(Suckfly)’ 공격 조직은 서울 소재 기업의 인증서를 탈취해 공격을 진행하고 있으며, 그 배경에 중국 사이버 범죄조직이 있을 것으로 추정했다.

시만텍이 22일 발표한 보고서에 따르면 석플라이는 지난해 말 국내 모바일 소프트에어 개발업체와 연관된 해킹된 디지털 서명 툴이 발견되면서 보안업계의 추적을 받기 시작했다. 시만텍이 분석한 결과, 이 회사의 인증서로 서명된 다른 파일의 경우, 동일한 인증서를 사용해 서명한 3개의 해킹 툴이 추가로 발견됐다.

확인된 해킹 툴은 훔친 인증서로 서명됐으며, 인도에 있는 미국 의료 서비스 제공업체를 겨냥한 의심스러운 활동에 사용됐다. 따라서 인증서의 합법적인 소유 기업이 인증서를 오용했거나 도난 당했을 가능성이 있다고 보인다.

시만텍은 “석플라이 조직은 유효한 코드사이닝 인증서를 훔쳐 다수의 정부 기관과 기업을 대상으로 표적 공격을 했는데, 탈취한 인증서의 출처가 서울 소재의 기업인 것으로 드러났다”며 “석플라이 공격조직은 탈취한 다수의 인증서, 해킹 툴 및 맞춤형 악성코드를 이용해 대규모 표적 공격을 하고 있다”고 밝혔다.

코드사이닝 탈취해 정품 인증서 이용 공격 진행

시만텍 보고서에 따르면 이 조직은 2년간 전세계 다수의 정부 기관 및 기업을 대상으로 표적 공격을 시작하기 전, 사전 공격을 통해 코드사이닝 인증서를 확보했다.

코드사이닝은 온라인 환경에서 배포되는 실행 파일이 정당한 제작자에 의해 제작되었고 위·변조되지 않았음을 확인하는 방법이다. 기업은 코드사이닝 인증서를 통해 자사 소프트웨어와 파일의 보안 및 정품 인증을 강화하고, 사용자는 제작자의 인증서 및 배포된 실행 파일의 전자 서명을 검증해 실행 파일의 유효성을 확인할 수 있다.

통상적으로 코드사이닝이 있으면 출처를 믿을 수 있는 파일로 간주되는데, 이번에 석플라이 APT 조직의 활동이 드러나면서 정품 인증서가 악의적으로 사용될 수도 있는 것으로 밝혀졌다.

시만텍은 악성 트래픽의 진원지를 추적해 동일한 인프라를 사용했다는 증거를 확보했고, 공격 활동이 3개의 각기 다른 IP 주소에서 발생했다는 사실을 발견했다. 3개 IP 주소의 소재지는 모두 중국 청두였다.

이밖에도 시만텍은 9개의 훔친 인증서를 사용해 서명한 일련의 해킹 툴과 악성코드를 확인한 결과, 이 9개의 탈취 인증서의 출처가 서울 중심부에 근접한 곳에 위치한 9개의 각기 다른 회사로 나타났다. 인증서의 탈취 과정은 정확하게 알 수 없지만, 기업 내부에서 인증서를 찾아 빼낼 수 있는 악성코드에 감염됐을 가능성이 크다.

인증서 도난 당한 기업들 피해 사실 인지 못해

피해를 입은 기업들이 언제 인증서를 탈취 당했는지 정확한 날짜는 알 수 없다. 그러나 해킹 툴이나 악성코드와 한 쌍을 이룬 인증서를 처음 발견한 날짜를 분석해 인증서가 탈취된 시간을 예상해 보면, 탈취된 인증서는 1년 넘게 공격에 사용된 경우도 있었다.해당 기업은 자사 인증서가 도난 당했다거나 악의적으로 이용되고 있는지를 알지 못했다. 탈취 자체를 몰랐기 때문에 인증서는 폐기되지 않았고, 계속 공격에 사용됐다.

탈취한 인증서의 소유 기업은 소프트웨어 개발, 비디오 게임 개발, 엔터테인먼트 및 미디어, 금융 서비스 등 4개의 산업군에 분포되어 있는 것으로 확인됐다. 또한 시만텍은 석플라이가 다수의 해킹 툴과 악성코드를 포함하고 있음을 알아냈다.

석플라이는 맞춤형 백도어를 사용했는데, 이는 석플라이가 사이버스파이 공격을 위해 직접 개발한 것으로 보인다. 시만텍은 이 맞춤형 백도어를 ‘백도어.니디란(Backdoor.Nidiran)’으로 명명했다. 석플라이 공격 조직은 전략적 웹 감염을 통해 니디란 백도어를 전달했는데, 직접 제작한 웹 페이지를 이용해 특정 MS 윈도우 버전에 영향을 미치는 MS 윈도우 OLE 원격 코드 실행 취약점(CVE-2014-6332)을 배포했다.

이 윈도우 취약점은 사용자가 인터넷 익스플로러를 이용해 악성 페이지를 방문할 때 감염되는데, 공격자는 로그인 사용자와 동일한 권한으로 코드를 실행할 수 있다.

코드사이닝 인증서 탈취 사례 증가

석플라이 공격그룹이 지금까지 인증서를 사용해 악성코드를 서명한 유일한 조직은 아니지만 가장 많은 인증서를 수집한 조직일 수 있다. 세계 최초의 사이버무기로 알려진 스턱스넷(Stuxnet)은 석플라이보다 훨씬 이전에 대만 소재 기업에서 훔친 인증서를 서명에 이용했다. 블랙 바인(Black Vine), 히든 링스(Hidden Lynx) 등 다른 사이버스파이 조직 역시 훔친 인증서를 공격에 사용했다.

코드사이닝 인증서로 악성코드를 서명하려는 시도가 더욱 빈번하게 일어나는 이유는 인터넷과 보안 시스템이 점차 신뢰 및 평판 지향 모델로 이동하고 있기 때문이다. 앞으로 신뢰할 수 없는 소프트웨어의 경우, 서명이 없을 경우에는 실행 허가를 받을 수 없게 될 수도 있다.

이전에 시만텍이 애플 위협 환경을 조사한 결과를 보면, 맥 OS X와 같은 일부 운영체제는 유효한 인증서로 서명이 되어 있는, 즉 신뢰할 수 있는 애플리케이션에 한해서만 실행을 허용하도록 기본 설정이 되어 있다. 그러나 공격자들이 긍정적인 평판을 가진 기업에서 유효한 코드사이닝 인증서를 탈취해 사용한다면, 해당 기업의 신뢰도에 편승해서 더욱 쉽게 보안 시스템을 통과해 표적 컴퓨터에 접근할 수도 있다.

윤광택 시만텍코리아 제품기술본부 상무는 “공격자들은 탈취한 인증서를 악성코드의 코드사이닝에 악용해 이를 서명한 해당 기업의 평판이 큰 타격을 받게 된다. 도난 당한 코드사이닝이 사용된 모든 파일을 새로운 코드사이닝 인증서로 서명을 하고 재배포 하려면 많은 비용이 발생한다”며 “악성코드 유포자들이 유효한 코드사이닝을 악용하기 위해 코드사이닝 인증서를 노리고 있는 만큼, 기업들의 각별한 주의가 필요하다”고 말했다.

한편 시만텍은 지난 몇 년간 코드사이닝 인증서를 탈취해 적법한 파일이나 애플리케이션으로 위장한 사이버범죄 사례들을 다수 발견했다. 이러한 공격 양상이 증가할수록 기업은 강력한 사이버보안 태세를 유지하고, 인증서 및 이와 연관된 키를 안전한 환경에 저장하는 것이 그 어느 때보다 중요하다. 암호화나 시만텍의 EV(Extended Validation) 코드 서명 및 시만텍의 시큐어 앱 서비스 등은 한층 강화된 보안을 제공한다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.