지난 주말 17일과 18일 그리고 19일 오전까지 한국전자인증 홈페이지에 악성코드가 유포됐다며 구글 크롬은 20일 오후 6시 현재까지 한국전자인증(www.crosscert.com) URL중 하나인 www.crosscert.co.kr 접속시 악성코드 감염 주의 경고창을 띄우고 있다.

 
확인결과 악성코드가 걸려있는 서버 IP는 211.180.234.XXX이었고 해당 IP는 한국전자인증 테스트 서버로 확인됐다. 해당 업체 관계자는 “테스트 서버는 실제 메인 서버와 연결돼 있지 않으며 구글에서 테스트 서버에 연결된 URL을 잘 못 인식하고 악성코드 감염 경고창을 띄운 것”이라며 “신속히 정정 조치를 취하겠다”고 밝혔다. 해당 업체는 링크가 걸린 곳이 메인 서버가 아닌 것은 확인해 줬지만 테스트 서버에 실제로 악성링크가 걸렸다는 것은 인정하지 않았다.   
 
한국인터넷진흥원도 메인서버가 아니라고 확인해줬다. 인증기관 사이트를 관리감독해야 할 의무가 있는 KISA는 이번 건에 대해 “제보를 받고 업체측에 확인 한 결과 메인 서버가 아닌 테스트 서버인 것으로 확인됐다”며 “현재 1년에 한번 사이트 점검을 실시하고 있다”고만 밝혔다.
 
하지만 테스트 서버라 할지라도 접속자들은 놀라지 않을 수 없다. 범용 공인인증서를 발급하는 기관중 하나인 한국전자인증이 악성코드 유포지로 이용됐다고 생각할 수 있기 때문이다. 그리고 악성코드 링크가 걸려있었다는 것은 해킹을 당했다고 볼 수 있기 때문에 메인 인증서버에 악성코드가 걸려있지 않았다 할지라도 만약을 대비해 한국전자인증은 더욱 사이트 관리에 만전을 기해야 할 것으로 보인다.  
 
이번 악성코드를 최초 탐지하고 KISA에 제보한 빛스캔(대표 문일준)측은 “구글에서도 경고한 것과 같이 실제로 악성링크가 걸려 있었다. 그것이 테스트 서버인지 메인 서버인지 확인할 수는 없지만 toXXXX.co.kr/com.js(현재는 차단된 상태)라는 악성링크가 걸려 있었다는 것은 확인 가능하다”며 그 증거 이미지를 데일리시큐에 보내왔다.

 
또 이 악성코드에 대해 “현재 분석 중에 있으나, 거의 대부분 키보드 입력을 가로채어 개인정보를 유출하는 키로깅 기능을 가진 것으로 추정된다”며 “당사의 PCDS에서 수집된 유포 URL에 대한 정보에 따르면, 이 악성코드의 최초 출현은 약 4주전(10월 26일)에 출현했으며 지난 주까지 약 65개 사이트(누적 포함)가 동일한 공격을 당한 것으로 파악되고 있다. 한국전자인증 테스트 서버도 여기에 포함된다”고 설명했다.
 
단순 테스트 서버에 악성코드 삽입으로 인증서발급이나 이용자들에게는 전혀 피해가 발생하지는 않았겠지만 보안관련 기관의 보안은 더욱 철저한 잣대로 검증돼야 할 것이다. 왜냐하면 보안관련 사이트는 접속자들이 신뢰를 가지고 접속하기 때문에 악성코드 유포시 아무 의심없이 감염이 이루어질 수 있어 더욱 신경을 써야 할 것으로 보인다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com