침해사고/위협동향

보안SW 코드서명 도용 악성코드 ‘이례적’…사이버위협 고조

이유지

[디지털데일리 이유지기자] 공인인증서 프로그램의 코드서명(Code Signing)을 도용한 악성코드가 포착돼 보안·금융사들과 관계당국이 긴급대응을 벌이고 있다.

검찰(서울중앙지검 첨단범죄수사1부)은 해당 악성 프로그램과 보안업체의 해킹 여부 등에 대해 수사에 착수했다. 이번 악성코드는 많은 국민들이 사용하는 신뢰된 프로그램으로 위장하는 방식으로 제작돼 대규모 사이버공격을 위한 악성코드 감염을 노렸다는 분석이 나오고 있다.

한편으론 이번 사이버위협의 고조는 지난 1월초 북한 핵실험이후 남북한 긴장이 고조된 상황과 시기적으로 공교롭게도 맞물려있다. 이 때문에 일각에선 북한과의 연계를 염두에 둔 추론이 제기되고 있지만 아직까지 이를 확인할만한 증거는 제시되지 않고 있다.

◆특수목적(?) 노린 악성코드 유포 가능성에 무게 = 이번에 발견된 악성코드는 은행, 공공기관 등 전자거래 안전성을 확보하기 위해 널리 사용되는 보안업체의 공인인증서 프로그램으로 가장했다는 점이 특징이다.

이 방식은 코드서명을 도용, 악성코드 프로그램을 보안업체가 배포하는 프로그램으로 믿고 사용자들이 설치해 감염될 가능성이 크다.

코드서명은 사용자가 컴퓨터에 특정 프로그램을 설치할 때 해당 프로그램이 안전하고 신뢰할 수 있다는 것을 공인된 인증기관이 검증해준 인증서다.

보안전문가들은 유효한 소프트웨어나 금융 보안 프로그램의 코드서명을 도용한 악성코드가 배포된 사례는 이례적이라고 진단하고 있다.

이번에 발견된 악성코드는 사용자 PC에 설치되면 컴퓨터 정보 등을 파악해 사용자를 식별한 후 외부로 이같은 정보를 유출하는 기능을 갖고 있는 것으로 파악됐다. 명령·제어(C&C)서버와 통신해 또 다른 악성코드를 다운로드할 수 있는 기능도 포함된 것으로 분석됐다.

이 악성코드를 발견한 보안업계 관계자는 “이번처럼 보안 프로그램 등 유효한 프로그램의 코드사인을 도용해 제작·유포된 경우는 이례적”이라며 “특정 의도를 갖고 제작된 것으로 볼 수 있다”는 분석을 내놨다.

◆보안업체·KISA·금융사 등 공조, 초동대응 마무리 단계 = 일단 악성코드 발견부터 금융사 긴급 조치까지 대응은 비교적 일사분란하게 이뤄졌다.

해당 보안업체는 지난 15일 자사가 10월 이후 배포한 프로그램의 코드서명을 도용한 악성코드가 유포되고 있다는 정보를 보안업체인 안랩으로부터 전달 받고 한국인터넷진흥원(KISA)과 자체 조사에 나서는 등 대응해 왔다. 검찰에 수사도 의뢰했다.

도용된 코드서명은 지난해 10월 발급된 것으로, 대형 은행 등 금융사와 공공기관, 기업 등 13곳에서 사용하고 있는 것으로 파악됐다. 금융사 등 고객사에 알리고 문제가 된 인증서를 폐기, 새롭게 재발급 받아 적용하는 대응조치를 수행했다.

금융보안원도 지난 16일 관련내용을 금융사에 통보해 긴급조치를 실시할 수 있도록 했다.

KISA는 악성코드와 통신하는 명령제어(C&C) 서버를 차단하고 백신 업데이트를 적용하는 등 초동조치를 실시했다.

해당 업체는 “악성코드 유포 사실을 입수한 직후 긴급대응을 실시하고 있다. 새로 코드서명을 발급받은 뒤 해당 프로그램을 사용하고 있는 고객사에 전달해 조치를 취할 수 있도록 대응하고 있다. 금융사 테스트 후 적용이 조만간 마무리 될 예정이다. 16일 이후 백신 업데이트도 적용돼 해당 악성코드 진단·치료가 가능한 상태”라고 말했다.

청와대 등 국가기관 사칭 이메일 공격 개요도 <출처 : 경찰청>
청와대 등 국가기관 사칭 이메일 공격 개요도 <출처 : 경찰청>
◆‘사이버테러’ 징후로 판단 = 아직까지 해당 악성코드가 얼마만큼 유포됐는지 파악은 안되는 상태다. 또 일각에서 우려하는 보안업체 해킹에 의한 ‘3.20 사이버테러’ 재현 등 북한에 의한 사이버테러 여부에 대해서도 수사가 필요하다.

다만 조사 과정에서 내부 PC 3대 이상에서 악성코드에 감염된 것이 발견됐다. 이같은 내부 PC 감염이 이번에 발견된 도용된 악성코드와의 연관성 여부는 수사과정에서 상세한 조사와 분석이 필요한 상태다.

이번에 발견된 악성코드는 캐나다와 국내를 포함한 IP주소를 가진 명령·제어(C&C) 서버와 주기적으로 통신을 수행하고 있는 것으로 알려졌다.

이로 인해 은밀하고 정교한 방식으로 사이버공격이 감행된 것 아니냐는 추정이 나오고 있다. 연초 발견된 청와대 등 정부기관 사칭 이메일 공격을 시작으로 최근 무게감 있는 사이버위협 이상징후가 잇달아 발견된 것이 이번 사건과 무관하지 않다는 분석이 나오는 이유다.

최근 정부는 북한의 사이버테러 발생 가능성에 무게를 두고 민·관·군 각 분야에 경계령을 내리고 각 분야 긴급 보안점검을 실시하고 있다. 2~3월 북한의 사이버테러설까지 제기된 상황이다.

국가사이버안전센터는 북한의 4차 핵실험 직후인 지난달 8일 사이버위기 ‘관심’ 경보를 발령했고, 한 달 만인 지난 11일 ‘주의’ 단계로 올렸다.

한국인터넷진흥원(KISA)도 11일 오전 11시부터 인터넷침해사고 경보단계를 ‘관심’에서 ‘주의’로 상향했다.

우리 군도 지난 14일 정보작전방호태세 ‘인포콘’을 ‘향상된 준비태세’ 3단계로 한 단계 올렸다.

경찰은 지난 15일 청와대 등 정부기관 사칭 이메일 공격이 북한 소행이 확실하다는 중간 수사결과를 발표하기도 했다.

KISA 관계자는 “최근 타깃형 악성코드 등 사이버테러 징후로 볼 수 있는 위협이 발견되고 있다”며 “지난 2009년과 2013년 핵실험과 미사일 발사 이후 어김없이 사이버테러가 발생했던 사례가 있어 각별한 주의가 필요하다”고 강조했다.

<이유지 기자>yjlee@ddaily.co.kr

이유지
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널