빛스캔 “한국전력, 원자력안전평가원, 원자력의료원 등 대외인증서 탈취 당해”
2014년 대미를 장식한 한국수력원자력(이하 한수원)에 대한 사이버공격이 우리 사회에 준 충격은 상당하다. 바로 사이버공격자들이 돈을 노리는 것을 넘어서 국가 기반시설까지 타깃으로 해 공격을 할 수 있다는 위협 가능성을 보여준 사건이었기 때문이다.한편 원자력과 관련해 한국전력, 원자력안전평가원, 원자력 의료원 등의 대외 인증서들을 비롯해 한전에서 발행된 인증서를 보유한 기업들의 인증서까지 악성코드에 의해 탈취된 정황이 포착됐다.
▲2014. 8월. 유효기간 만료된 원자력안전평가원 인증서
빛스캔(대표 문일준)에 따르면 “악성코드에 의해 탈취된 인증서들의 메타데이터를 추출해 분석한 결과, 개인이 발급받은 인증서가 약 70% 정도를 차지했고 나머지는 기업 또는 국가 및 공공기관의 인증서로 확인되고 있다”며 “특히 최근 이슈가 되고 있는 원자력과 관련해 한국전력, 원자력안전평가원, 원자력 의료원 등의 대외 인증서들을 비롯해 한전에서 발행된 인증서를 보유한 기업들의 인증서 목록도 추가로 확인되었다”고 밝혔다.
일반적으로 원자력 및 전력 관련 인증서는 일반인이 보유한 PC에 저장될 가능성이 거의 없다. 따라서 해당 인증서는 관련 기관/기업내의 인터넷 이용이 가능한 PC 또는 승인된 사용자의 일반 PC에서 유출될 가능성이 매우 높다는 것이다.
▲유출 확인된 기반시설 관련 공인인증서 일부
더욱이 이번에 확인된 인증서들이 원자력 및 한전 이외에도 다른 기반 시설로 추정되는 기관 관련 인증서도 다수 유출됐다는 점이다. 만약 해당 인증서가 내부 PC에서 빠져나갔고 해당 PC는 공격자가 이미 권한을 가지고 있다면 중요한 문서를 탈취하거나 중요하게 보호되고 있는 내부 서버정보들을 유출시킬 수 있는 통로로 이용될 수 있는 것이다.
빛스캔에서 수집된 인증서는 모두 KISA 및 관련 기관에 전달돼 폐기했지만 인증서 폐기만으로 보안상의 문제를 해결할 수는 없다는 것이 보안전문가들 의견이다. 각 기업이나 기관 내부에 감염된 좀비PC들은 여전히 살아 있고 언제든 즉시 침입에 이용 될 수 있는 상태에 놓여 있다는 것은 언제든 더 큰 보안사고로 이어질 수 있기 때문이다.
2014년 7월에 발생한 국내 다수 여행사를 통한 대량 감염 시도를 통해 탈취된 인증서로 확인된 사인이다. 수집해 확인된 후, 즉시 해당 기관에 제공되었고 KISA 및 관련기관으로도 전달된 바 있다.
빛스캔 조사에 따르면, 공격자들은 악성코드를 유포해 매월 수만건에서 수십여 만건의 공인인증서를 수집하고 있으며, 1차적인 목적인 금융정보 탈취용 악성파일뿐 아니라 원격에서 직접 조정되는 백도어들도 모두 설치된 상태다. 즉 원격에서 완벽하게 통제가 가능하다는 것이다. 좀비PC 감염 방지를 위한 주요 기업들의 대응과 노력들은 계속 되고 있지만, 변화를 따라가지 못하는 역부족인 상황이다.
빛스캔 관계자는 “메타 데이터로 분석한 결과, 원자력 및 한전 뿐만 아니라 국내 기간망에 연관된 다양한 기업 및 기관에 대한 인증서들도 발견이 되었다. 그만큼 침입할 수 있는 거점과 피해가 발생될 수 있는 여지가 충분히 높다는 것”이라며 “인터넷 사용이 허용된 구간에 대해서는 접점의 문제가 항상 존재하고, 웹서핑을 통한 감염에 대해서도 충분한 대비를 해야 한다. 단순히 유해사이트 목록을 통해 차단 하는 것이 감염을 막아주지 않는다. 단순 접근금지 목록 수준으로 관리가 가능한 상황은 이미 오래 전에 넘은 현실이다”라고 강조했다.
매년 웹을 이용해 악성코드를 유포하는 방식은 더욱 극심해지고 있으며, 최근에는 공격 형태도 다양하게 나타나고 있어 탐지가 힘든 상태이다. 특히 해외에서 활동중인 공격도구가 국내에 유입되고 있어, 일반 사용자들 입장에서 대응 하기는 매우 힘겨운 상황에 처하고 있다. 공격 기술의 발전에 비해 보호 기술의 발전은 미미한 상태인 것이다.
빛스캔 측은 “선제적인 대응과 확산 이전 단계에서의 대응이 최선이고, 사고 나기 이전이라도 관련된 정보를 이용해 분석과 대응을 준비하는 단계가 차선이 될 것”이라며 “빠른 위협 정보의 확보와 분석은 필수조건에 해당된다. 조기 경보가 되지 않는 상황에서 모든 대응은 패배한 상황에서의 최선이 될 뿐이다. 관찰 되지 않는 위협은 이제 사회 근간을 직접 위협 하는 상태에 도달해 있다. 2015년 1월 현재도 한국 인터넷의 위협레벨은 ‘경고’단계다”라고 밝혔다.
<★정보보안 대표 미디어 데일리시큐!★>
데일리시큐 길민권 기자 mkgil@dailysecu.com
빛스캔에서 수집된 인증서는 모두 KISA 및 관련 기관에 전달돼 폐기했지만 인증서 폐기만으로 보안상의 문제를 해결할 수는 없다는 것이 보안전문가들 의견이다. 각 기업이나 기관 내부에 감염된 좀비PC들은 여전히 살아 있고 언제든 즉시 침입에 이용 될 수 있는 상태에 놓여 있다는 것은 언제든 더 큰 보안사고로 이어질 수 있기 때문이다.
2014년 7월에 발생한 국내 다수 여행사를 통한 대량 감염 시도를 통해 탈취된 인증서로 확인된 사인이다. 수집해 확인된 후, 즉시 해당 기관에 제공되었고 KISA 및 관련기관으로도 전달된 바 있다.
빛스캔 조사에 따르면, 공격자들은 악성코드를 유포해 매월 수만건에서 수십여 만건의 공인인증서를 수집하고 있으며, 1차적인 목적인 금융정보 탈취용 악성파일뿐 아니라 원격에서 직접 조정되는 백도어들도 모두 설치된 상태다. 즉 원격에서 완벽하게 통제가 가능하다는 것이다. 좀비PC 감염 방지를 위한 주요 기업들의 대응과 노력들은 계속 되고 있지만, 변화를 따라가지 못하는 역부족인 상황이다.
빛스캔 관계자는 “메타 데이터로 분석한 결과, 원자력 및 한전 뿐만 아니라 국내 기간망에 연관된 다양한 기업 및 기관에 대한 인증서들도 발견이 되었다. 그만큼 침입할 수 있는 거점과 피해가 발생될 수 있는 여지가 충분히 높다는 것”이라며 “인터넷 사용이 허용된 구간에 대해서는 접점의 문제가 항상 존재하고, 웹서핑을 통한 감염에 대해서도 충분한 대비를 해야 한다. 단순히 유해사이트 목록을 통해 차단 하는 것이 감염을 막아주지 않는다. 단순 접근금지 목록 수준으로 관리가 가능한 상황은 이미 오래 전에 넘은 현실이다”라고 강조했다.
매년 웹을 이용해 악성코드를 유포하는 방식은 더욱 극심해지고 있으며, 최근에는 공격 형태도 다양하게 나타나고 있어 탐지가 힘든 상태이다. 특히 해외에서 활동중인 공격도구가 국내에 유입되고 있어, 일반 사용자들 입장에서 대응 하기는 매우 힘겨운 상황에 처하고 있다. 공격 기술의 발전에 비해 보호 기술의 발전은 미미한 상태인 것이다.
빛스캔 측은 “선제적인 대응과 확산 이전 단계에서의 대응이 최선이고, 사고 나기 이전이라도 관련된 정보를 이용해 분석과 대응을 준비하는 단계가 차선이 될 것”이라며 “빠른 위협 정보의 확보와 분석은 필수조건에 해당된다. 조기 경보가 되지 않는 상황에서 모든 대응은 패배한 상황에서의 최선이 될 뿐이다. 관찰 되지 않는 위협은 이제 사회 근간을 직접 위협 하는 상태에 도달해 있다. 2015년 1월 현재도 한국 인터넷의 위협레벨은 ‘경고’단계다”라고 밝혔다.
<★정보보안 대표 미디어 데일리시큐!★>
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
