[아이뉴스24 최은정 기자] 최근 국내 한 보안업체 코드서명 인증서로 서명된 악성코드가 해외 서버에 유포된 정황이 포착된 가운데 이에 앞서 유사 사례가 있었다는 지적이 제기됐다.
또 지난달 30일 발생한 이 사건은 과거 국내 굵직한 해킹 사건의 추정 배후인 특정 정부의 후원을 받는 그룹 소행으로 추측되고 있다.
5일 이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 이번 악성코드에서 과거 지능형지속위협(APT) 공격시 사용됐던 특정 암호화 알고리즘이 발견됐다.
특히 과거 정보 유출 피해가 발생했던 ▲2016년 군 내부 전용 사이버 망 해킹 ▲2017년 국내 현금자동입출금기(ATM) 해킹 ▲2017년 국내 H여행사 관리자 계정 해킹 등 사건에서 이용된 악성코드 공격방식·샘플과 상당한 유사성을 보이고 있다는 분석이다.
지난 2016년 발생한 국방망 해킹 사고는 일부 PC에 악성코드가 감염돼 일부 정보가 유출된 사건으로 당시 군사비밀을 포함한 일부 군사자료가 외부에 유출돼 파장이 일었다.
당시 악성코드가 최초로 침투한 날짜는 2016년 8월 4일로, 대량 유포된 시점인 9월 23일 보다 한 달 먼저 침투해 잠복해 있던 것으로 밝혀졌다.
이번 국내 보안업체 코드서명 인증서 악성코드 역시 한 달 전 해당 업체 서명이 있는 악성코드가 존재했던 것으로 파악됐다. 최초 악성코드 발견 시점은 7월 30일이지만, 그보다 3주 정도 앞선 지난달 9일에도 동일 악성코드가 발견됐다는 것.
왼쪽부터 2016년 군 내부 전용 사이버 망 공격코드, 2017년 국내 ATM 공격코드, 2017년 국내 H여행사 관리자 계정 공격코드, 최근 발생한 국내 보안업체 인증서를 악용한 공격코드 캡처본.
또 악성코드에 사용된 로직이 과거 사건과 유사하다는 것도 동일한 배후로 추정되는 이유 중 하나다.
문종현 ESRC 센터장은 "해당 보안업체가 코드사인 인증서를 폐기했다고 하지만 해커가 인증서를 가져간 상황이라 안심할 수 없는 상황"이라며 "현재 자세한 상황은 관련 기관·기업이 조사중"이라고 말했다.
김용대 카이스트 정보보호대학원 교수 겸 사이버보안연구센터장은 "커스텀 암호화 로직은 표준화 되지 않은 특이한 암호화 알고리즘 이라는 뜻"이라며 "이는 특별한 사례이기 때문에 동일한 공격자라 판단하는 이유"라고 설명했다.
한편 현재 코드사인 인증서 악용 악성코드 사례는 한국인인터넷진흥원(KISA)이 신고를 받아 해당 업체와 협력, 악용된 인증서를 곧바로 폐기한 상태다. 해당 업체 역시 이번 인증서를 포함 자사 모든 인증서를 폐기하고 신규 재발급을 완료했다. 현재 정확한 피해상황을 파악하기 위한 조사가 진행 중이다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기