지난 5월 7천여 건의 인증서 탈취 정황이 확인됐다. 빛스캔(대표 문일준)의 악성코드 유포 조사결과 밝혀진 인증서 탈취건은 데일리시큐에서 보도되고 KISA에서도 인증서 폐기 등 대응이 완료된 바 있다. 하지만 인증서 탈취 공격이 계속되고 있어 심각한 상황이다.
(관련기사: www.dailysecu.com/news_view.php?article_id=6871)
 
빛스캔 측은 6월에도 다수의 개인 사업자와 의료기관의 법인 인증서를 포함해 1632건이 수집된 정황을 추가 발견했다고 발표했다. 전체 1632건의 인증서 중에서 실제 사용이 가능한 인증서는 1252건이며 현재 한국인터넷진흥원(KISA)에 전달돼 대응이 완료 되었으며, 현재 국내 주요 백신을 통해 치료가 가능한 상황이다.

 
빛스캔 측은 “유출된 인증서의 종류에는 의료기관 및 병원의 인증서를 포함하여 법인의 다양한 인증서들이 확인 되었다”며 “인증서가 유출된 법인 중에는 상장기업도 포함되어 있다. 유효기간은 만료 되었으나 행정망 접속을 위한 인증서도 발견되었다”고 우려를 표했다.
 
이어 “이번 6월초에 확인된 인증서 탈취는 5월 말과 6월초 두 차례에 걸쳐 국내 어학원사이트를 통해 발생된 소규모 악성코드 유포를 추적하던 중 확인된 사안”이라며 “범위로 보면 좁은 범위에서 발생되었음에도 불구하고 도합 1632건에 달하는 유효한 인증서가 확인 되었다”고 밝혔다.
 
2014년에만 단 두 차례의 확인 사례에서 2013년 전체 유출 목록 7633건(PC용과 스마트폰 인증서 합산)을 넘는 8600여건 이상의 사례가 확인된 것이다.
 
두 사안 모두 전체 공격 중에 일부만이 확인된 상황이라 실제 피해범위는 휠씬 더 광범위할 것으로 빛스캔 측은 예상하고 있다. PC용 인증서만 비교 하면, 단 두 건의 유출 확인 사례만으로도 지난해 전체 유출량의 10배 이상의 인증서 탈취가 확인된 상황이다.
 
금융거래 용도의 개인인증서 탈취가 대부분이지만 증권을 포함한 기업용 인증서들도 확인된 상황이다.
 
이번 사안은 한국 인터넷상에서의, 웹을 통한 악성코드 대량 유포를 관찰하고 있는 빛스캔의 C&C서버 추적에 의해 유출이 확인이 되었다. 지난 5월초의 첫 사례 확인 이후 두 번째 사례라 할 수 있다. 지난 5월에는 개인인증서 탈취가 중심 이였으나, 이번 사례에는 개인인증서와 법인, 의료기관의 인증서, 인증이 만료된 행정망 사용자의 인증서, 교육망에 접근이 가능한 인증서들이 확인됨에 따라 지난 5월의 개인인증서 탈취 사안보다 종류와 영향력이 더 높은 사안으로 분석하고 있다.
 
인증서가 유출된 PC의 경우, 이미 악성코드에 감염된 상태라서 추가적인 정보 유출과 키 입력 정보의 유출도 모두 가능한 상황이다. 그만큼 추가적인 금융 자산의 유출 가능성이 매우 높다고 볼 수 있다.
 
빛스캔 관계자는 “법인용 인증서의 경우에는 기업의 존망에도 직접적인 영향을 줄 수 있을 정도로 심각한 상황이라 할 수 있다. 법인의 경우에는 개인사업자 이외에도 상장기업의 인증서도 확인됨에 따라 국내 현실을 적나라하게 확인 할 수 있다”며 “보안의 문제가 기업의 존망에도 영향을 주는 사안임에도 불구하고 현실에서는 기본적인 위험관리도 제대로 이루어지지 않는 상황”이라고 지적했다.
 
압축파일로 보관된 인증서 항목 중에는 USB에 저장된 인증서 항목들도 연결 시점에 모두 수집된 것으로 보이는 흔적도 있어, 단순히 USB에 인증서를 보관하는 것으로 위험을 예방할 수 없다.

 
웹서핑을 통한 악성코드 감염을 줄일 수 없다면 문제는 계속될 수밖에 없다는게 빛스캔 측 입장이다. 또한 내부망 접속에 이용되는 사설 인증서들과 유효기간이 만료되긴 했지만 행정망에 접속할 수 있는 인증서들도 수집된 상황을 볼 때 내부망에 대한 침입 시도들도 충분히 발생 될 수 있을 것으로 예상된다.
 
일반적으로 파밍 악성코드 감염은 이메일이나 불법파일 다운로드에 의해 감염되어 발생된다고 알려져 있으나, 실제로는 웹을 통해서 더 심각한 금융정보 탈취 피해가 발생되고 있다는 것을 일상적으로 발생되고 있음을 증명한다.
 
한국 인터넷 환경을 위협하는 공격자들은 금융 정보 탈취를 위해 인증서를 탈취하고, 이후 차단에 대비해 대규모로 정보를 변경하는 관리도구들까지 이용하는 실체가 처음 확인된 사례로서 일반적인 공격의 순서는 다음과 같다.  
 
1. 다수의 웹서비스를 통해 접속만으로도 악성코드에 감염되도록 설정
2. 모든 접속자들은 취약한 Java , IE, Flash 버전 사용시에 즉시 감염됨
3. PC 내에 존재하는 공인인증서 파일을 압축하여 관리서버로 전달
4. 감염된 PC들은 별도의 좀비 PC 관리 프로그램으로 관리되며, 웹서핑시 금융정보를 입력하는 파밍사이트로 연결되게 한다.  정보 입력 시에는 금융 피해가 즉시 발생 될 수 있다.
 
빛스캔에서 확인한 공격자 서버의 모든 인증서 파일들은 추가 피해 방지를 위해, 한국인터넷진흥원(KISA)에 신속히 전달돼 인증서 폐기도 완료 되었다. 또한 감염에 이용된 악성코드들도 전달되어 국내 주요백신을 이용해 치료가 가능한 상황이다.
 
그러나 매주마다 새로운 악성코드 감염은 국내 주요 사이트들에서 일상적으로 발생되고 있다. 또한 악성파일의 변경은 계속되고 있어서, 앞으로도 어려움은 계속 될 것으로 보인다. 지난 5월과 6월에 발견된 단 두 차례의 확인 결과는 전체 한국 인터넷이 처한 위협상황에서 보자면 빙산의 일각이라 할 수 있다.
 
일부분을 통해 확인된 사안으로도 충분히 현실을 알 수 있을 만큼, 한국 인터넷의 위기 상황이 계속 되고 있다. 단순히 이용자에 대한 홍보와 계도활동을 넘어서 웹을 통한 악성코드 유포에 대해 적극적인 예방과 피해 감소를 위한 적극적인 노력이 반드시 필요하다.
 
금융정보 탈취 유형에 대해서도 단순히 사용자의 주의 촉구만으로는 현재 문제는 해결되기가 어려우며, 전체 환경 개선을 위해 각 서비스 제공자들의 강력한 노력들이 결합 되어야 문제는 해결 될 수 있을 것이다.
 
빛스캔 문일준 대표는 “악성코드 감염 범위를 줄이기 위해 국내 인터넷 서비스의 취약성을 개선해야 함은 물론이고 대량 유포에 이용되는 통로들을 빠르게 확인하고 차단함으로써 피해를 줄일 수 있도록 노력해야 현재의 위험들을 줄일 수 있을 것”이라며 “지금 이 순간에도 또 다른 금융정보 탈취 및 좀비PC 확보를 위한 악성코드 유포들은 한국 인터넷 사용자들을 대상으로 계속 발생 되고 있다”고 강조했다.
 
현재 빛스캔은 국내 180만개의 웹서비스와 해외 주요 30만개의 웹서비스에 대해 대량 악성코드 유포를 관찰하고 있으며, 3년 이상의 누적된 데이터와 탐지 기술력을 바탕으로 악성코드 유포와 통로, 감염된 PC를 조정하는 C&C 정보까지 분석을 하고 있다. 최근에는 웹서비스를 통한 모바일 악성코드 감염도 관찰이 되는 상태이다. 매주 수요일 정보제공 서비스를 통해 한 주간의 한국 인터넷 위협동향을 전달하고 있다.
 
<★악성코드 정보는 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com