실시간 뉴스



"조심 하세요" 보안회사 이름으로 악성코드 유포


악성코드가 정식 제품처럼 둔갑…해킹 원인은 조사중

[김국배기자] 국내 보안회사의 이름을 도용해 인터넷에서 악성코드를 유포한 정황이 포착됐다.

해당 기업이 해킹을 당해 전자서명(코드사인)이 유출되면서 악성코드 유포에 악용된 것으로 보인다.

이로 인해 PC 사용자는 악성코드가 포함된 프로그램을 이 회사가 배포하는 프로그램으로 믿고 설치했다가 감염됐을 가능성이 적지 않아 각별한 주의를 요한다.

19일 한국인터넷진흥원(KISA)과 보안업계에 따르면 주로 금융권에 보안 솔루션을 제공해온 국내 보안회사의 전자서명이 유출돼 KISA가 조사에 나섰다.

KISA 관계자는 "보안회사의 전자서명 서버를 관리하던 수십 대의 PC가 악성코드에 감염됐다"며 "지능형지속위협(APT) 공격으로 보인다"고 말했다.

이어 "악성코드와 통신하는 명령제어(C&C) 서버를 차단하고 백신 업데이트를 적용하는 등 초동조치를 하고 원인을 파악중"이라고 덧붙였다.

◆전자서명이 악성코드 유포에 악용

전자서명은 액티브X나 실행파일 등을 웹사이트를 통해 제공할 때 배포 회사 정보를 알려줘 사용자가 믿고 내려받을 수 있게 한다.

'이 소프트웨어를 설치하시겠습니까?'라는 메시지가 담긴 팝업창을 띄워 게시자(배포회사)를 확인시켜주는 것. 이때 전자서명이 없는 프로그램은 '알 수 없는 게시자'로 표시돼 경고가 뜨거나 브라우저에서 설치를 막기도 한다.

해커는 악성코드에 전자서명을 붙여 사용자 입장에서 악성코드를 믿을 수 있는 프로그램으로 오인할 수 있게 만든 셈이다.

발견된 악성코드는 캐나다와 국내를 포함한 IP주소를 가진 6대의 명령제어(C&C) 서버와 주기적으로 통신을 수행하며 명령을 대기중이었다. 감염됐다면 해커의 명령에 따라 '좀비PC'가 될 수 있는 것이다.

◆악성코드 잠복 가능성 배제 못해

일단 해당 기업과 KISA는 초동 대응과 원인 파악에 나섰다. KISA와 국가정보원은 C&C 서버를 차단했고 백신 회사들은 긴급 업데이트를 시작했다.

해당 기업은 유출된 전자서명을 지난 18일 폐기하고 새로 발급받았다. 유출된 인증서는 지난해 10월 발급기관을 통해 발급받은 것으로 16개 기업 고객에 제공되고 있었다.

이 회사 관계자는 "해커가 만든 것으로 추정되는 두 개의 파일이 자사 인증서로 서명돼 유포되고 있었다"며 "16일 이후 백신 엔진업데이트가 적용돼 현재는 안랩, 하우리, 잉카, 이스트소프트, 네이버 백신 등에서 진단과 치료가 가능하다"고 말했다.

또 " 새로 전자서명을 발급받은 뒤 망분리 환경에서 하나의 PC를 통해 관리하도록 조치를 내리는 등 내부 인프라 보안을 강화하고 있다"며 "검찰에도 수사를 의뢰할 예정"이라고 덧붙였다.

그러나 이런 초동 조치가 이뤄지기 전 이미 감염이 이뤄져 악성코드가 잠복하고 있을 가능성도 있다. 또 유출시점은 알 수 없지만 인지 시점과 차이가 날수록 감염 대상의 수도 더 커질 수밖에 없다.

게다가 정확한 유출원인과 경로를 파악하지 못할 경우 새로운 전자서명이 또 다시 유출될 가능성 역시 완전히 배제하기 어려운 상태다.

권석철 큐브피아 대표는 "방 안에 모기가 들어와 잡았다고 해서 문제가 끝난 것은 아닌 것과 같다"라며 "어떻게 들어왔는 지, 어디에 구멍이 있는 지 찾아내 재발을 방지하는 것이 무엇보다 중요하다"고 말했다.

김국배기자 vermeer@inews24.com






alert

댓글 쓰기 제목 "조심 하세요" 보안회사 이름으로 악성코드 유포

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스