2019-12-09 23:10 (월)
코드서명 인증서 탈취 APT 공격조직 '석플라이' 활동...주의
상태바
코드서명 인증서 탈취 APT 공격조직 '석플라이' 활동...주의
  • 데일리시큐
  • 승인 2016.03.22 15:17
이 기사를 공유합니다

시만텍 "탈취한 인증서 출처가 서울소재 기업들"
시만텍이 코드서명 인증서를 탈취하는 석플라이(Suckfly) APT(지능형지속위협) 공격조직에 대한 조사내용을 발표하며 기업들의 각별한 주의를 당부했다. 이 조직은 유효한 코드서명 인증서를 훔쳐 다수의 정부기관과 기업을 대상으로 표적공격을 했는데 탈취한 인증서의 출처가 서울소재의 기업들인 것으로 드러났다.
 
‘코드서명(code-signing)’이란 온라인환경에서 배포되는 실행파일이 정당한 제작자에 의해 제작되었고 위,변조되지 않았음을 확인하는 방법이다. 기업은 코드서명 인증서를 통해 자사 소프트웨어와 파일의 보안 및 정품인증을 강화하고 사용자는 제작자의 인증서 및 배포된 실행파일의 전자서명을 검증해 실행파일의 유효성을 확인할 수 있다. 통상적으로 코드서명이 있으면 출처를 믿을 수 있는 파일로 간주되는데 이번에 석플라이 APT 조직의 활동이 드러나면서 정품인증서가 악의적으로 사용될 수도 있는 것으로 밝혀졌다. 기업들이 인증서보안의 중요성에 더욱 주목해야 하는이유이다. 
 
탈취한 코드서명 인증서 출처는 서울소재 기업들
시만텍은 2015년 말 디지털로 서명된 해킹툴을 처음 탐지했는데 이때 사용된 인증서가 우리나라소재의 모바일소프트웨어 개발업체와 연관된 것으로 나타났다. 이 회사의 인증서로 서명된 다른파일을 조사한 결과 동일한 인증서를 사용해 서명한 3개의 해킹툴이 추가로 발견됐다. 확인된 해킹툴은 훔친 인증서로 서명되었을 뿐만 아니라 인도에 있는 미국 의료서비스 제공업체를 겨냥한 의심스러운 활동에 사용됐다. 따라서 인증서의 합법적인 소유기업이 인증서를 오용했거나 도난당했을 가능성이 있다고 보여졌다.
 
시만텍이 후속조사를 통해 악성트래픽의 진원지를 추적해 동일한 인프라를 사용했다는 증거를 확보했고 공격활동이 3개의 각기 다른 IP 주소에서 발생했다는 사실을 발견했다. 3개 IP 주소의 소재지는 모두 중국청두였다. 이밖에도 시만텍은 9개의 훔친 인증서를 사용해 서명한 일련의 해킹툴과 악성코드를 확인한 결과 이 9개의 탈취인증서의 출처가 서울 중심부에 근접한 곳에 위치한 9개의 각기 다른 회사로 나타났다. 인증서의 탈취과정은 정확하게 알 수 없지만 기업내부에서 인증서를 찾아 빼낼 수 있는 악성코드에 감염되었을 가능성이 크다.
 
인증서 도난당한 기업들 피해사실 인지 못해
국내기업들이 언제 인증서를 탈취당했는지 정확한 날짜는 알 수 없지만 해킹툴이나 악성코드와 한쌍을 이룬 인증서를 처음 발견한 날짜를 분석함으로써 인증서가 탈취된 시간을 예상할 수 있다. 탈취된 인증서는 1년 넘게 공격에 사용된 경우도 있었는데 해당기업은 자사인증서가 도난당했다거나 악의적으로 이용되고 있는지를 알지 못했다. 탈취자체를 몰랐기 때문에 인증서는 폐기되지않았고 계속 공격에 사용됐다.
 
탈취한 인증서의 소유기업은 소프트웨어개발, 비디오게임개발, 엔터테인먼트및미디어, 금융서비스등 4개의 산업군에 분포되어 있는 것으로 확인되었다. 또한, 시만텍은 석플라이가 다수의 해킹툴과 악성코드를 포함하고 있음을 알아냈다.


기능별 석플라이 해킹툴과 악성코드
 
석플라이는 맞춤형백도어를 사용했는데 이는 석플라이가 사이버스파이 공격을 위해 직접 개발한것으로 보여진다. 시만텍은 이 맞춤형백도어를 ‘백도어.니디란(Backdoor.Nidiran)’으로 명명했다. 석플라이 공격조직은 전략적 웹감염을 통해 니디란백도어를 전달했는데 직접 제작한 웹페이지를 이용해 특정 MS 윈도우버전에 영향을 미치는 MS 윈도우 OLE 원격코드실행취약점을 배포했다. 이 윈도우 취약점은 사용자가 인터넷 익스플로러를 이용해 악성페이지를 방문할 때 감염되는데 공격자는 로그인 사용자와 동일한 권한으로 코드를 실행할 수 있다. 
 
코드서명 인증서 탈취사례 증가… 기업들의 주의 필요
석플라이 공격그룹이 지금까지 인증서를 사용해 악성코드를 서명한 유일한 조직은 아니지만 가장많은 인증서를 수집한 조직일 수 있다. 세계 최초의 사이버무기로 알려진 스턱스넷(Stuxnet)은 석플라이보다 훨씬 이전에 대만소재기업에서 훔친 인증서를 서명에 이용했다. 블랙바인(Black Vine), 히든링스(Hidden Lynx) 등 다른 사이버스파이 조직 역시 훔친 인증서를 공격에 사용했다.
 
코드서명 인증서로 악성코드를 서명하려는 시도가 더욱 빈번하게 일어나는 이유는 인터넷과 보안시스템이 점차 신뢰 및 평판지향모델로 이동하고 있기 때문이다. 앞으로 신뢰할 수 없는 소프트웨어의 경우 서명이 없을 경우에는 실행허가를 받을 수 없게 될 수도 있다. 그러나 공격자들이 긍정적인 평판을 가진 기업에서 유효한 코드서명 인증서를 탈취해 사용한다면 해당기업의 신뢰도에 편승해서 더욱 쉽게 보안시스템을 통과해 표적컴퓨터에 접근할 수도 있다.
 
시만텍코리아 제품기술본부 윤광택 상무는 “공격자들은 탈취한 인증서를 악성코드의 코드서명에악용함으로써 이를 서명한 해당기업의 평판이 큰 타격을 받게 된다. 또한, 도난당한 코드서명이 사용된 모든 파일을 새로운 코드서명 인증서로 서명을 하고 재배포하려면 많은 비용이 발생한다”며, “악성코드 유포자들이 유효한 코드서명을 악용하기 위해 코드서명 인증서를 노리고 있는 만큼 기업들의 각별한 주의가 필요하다”고 말했다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com