시만텍이 코드서명 인증서를 탈취하는 석플라이(Suckfly) APT(지능형지속위협) 공격 조직에 대한 조사 내용을 발표하며 기업들의 각별한 주의를 당부했다. 이 조직은 유효한 코드서명 인증서를 훔쳐 다수의 정부 기관과 기업을 대상으로 표적 공격을 했는데 탈취한 인증서의 출처가 서울 소재의 기업들인 것으로 드러났다.
시만텍은 ‘석플라이(Suckfly)’라는 공격 조직이 탈취한 다수의 인증서, 해킹 툴 및 맞춤형 악성코드를 이용해 대규모 표적 공격을 하고 있다는 사실을 밝혀냈다. 이 조직은 2년간 전세계 다수의 정부 기관 및 기업을 대상으로 표적 공격을 시작하기 전·사전 공격을 통해 코드서명 인증서를 확보했다.
코드서명(code-signing)이란 온라인 환경에서 배포되는 실행 파일이 정당한 제작자에 의해 제작됐고 위·변조되지 않았음을 확인하는 방법이다. 기업은 코드서명 인증서를 통해 자사 소프트웨어와 파일의 보안 및 정품 인증을 강화하고 사용자는 제작자의 인증서 및 배포된 실행 파일의 전자 서명을 검증해 실행 파일의 유효성을 확인할 수 있다.
통상적으로 코드서명이 있으면 출처를 믿을 수 있는 파일로 간주되는데 이번에 석플라이 APT 조직의 활동이 드러나면서 정품 인증서가 악의적으로 사용될 수도 있는 것으로 밝혀졌다. 기업들이 인증서 보안의 중요성에 더욱 주목해야 하는 이유다.
시만텍은 2015년 말 디지털로 서명된 해킹 툴을 처음 탐지했는데 이 때 사용된 인증서가 우리나라 소재의 모바일 소프트웨어 개발업체와 연관된 것으로 나타났다. 이 회사의 인증서로 서명된 다른 파일을 조사한 결과 동일한 인증서를 사용해 서명한 3개의 해킹 툴이 추가로 발견됐다.
확인된 해킹 툴은 훔친 인증서로 서명됐을 뿐 아니라 인도에 있는 미국 의료 서비스 제공업체를 겨냥한 의심스러운 활동에 사용됐다. 따라서 인증서의 합법적인 소유 기업이 인증서를 오용했거나 도난당했을 가능성이 있다고 보여졌다.
시만텍이 후속 조사를 통해 악성 트래픽의 진원지를 추적해 동일한 인프라를 사용했다는 증거를 확보했고 공격 활동이 3개의 각기 다른 IP 주소에서 발생했다는 사실을 발견했다. 3개 IP 주소의 소재지는 모두 중국 청두였다.
이밖에도 시만텍은 9개의 훔친 인증서를 사용해 서명한 일련의 해킹 툴과 악성코드를 확인한 결과 이 9개의 탈취 인증서의 출처가 서울 중심부에 근접한 곳에 위치한 9개의 각기 다른 회사로 나타났다. 인증서의 탈취 과정은 정확하게 알 수 없지만, 기업 내부에서 인증서를 찾아 빼낼 수 있는 악성코드에 감염되었을 가능성이 크다.
▲ 기능별 석플라이 해킹 툴과 악성코드
※ 숫자는 고유 해시값을 가진 서명의 파일 수
국내 기업들이 언제 인증서를 탈취당했는지 정확한 날짜는 알 수 없지만 해킹 툴이나 악성코드와 한 쌍을 이룬 인증서를 처음 발견한 날짜를 분석함으로써 인증서가 탈취된 시간을 예상할 수 있다.
탈취된 인증서는 1년 넘게 공격에 사용된 경우도 있었는데 해당 기업은 자사 인증서가 도난 당했다거나 악의적으로 이용되고 있는지를 알지 못했다. 탈취 자체를 몰랐기 때문에 인증서는 폐기되지 않았고 계속 공격에 사용됐다.
탈취한 인증서의 소유 기업은 소프트웨어 개발, 비디오 게임 개발, 엔터테인먼트 및 미디어, 금융 서비스 등 4개의 산업군에 분포돼 있는 것으로 확인됐다. 또한 시만텍은 석플라이가 다수의 해킹 툴과 악성코드를 포함하고 있음을 알아냈다.
석플라이는 맞춤형 백도어를 사용했는데 이는 석플라이가 사이버스파이 공격을 위해 직접 개발한 것으로 보여진다.
시만텍은 이 맞춤형 백도어를 ‘백도어.니디란(Backdoor.Nidiran)’으로 명명했다. 석플라이 공격 조직은 전략적 웹 감염을 통해 니디란 백도어를 전달했는데 직접 제작한 웹 페이지를 이용해 특정 MS 윈도 버전에 영향을 미치는 MS 윈도 OLE 원격 코드 실행 취약점(CVE-2014-6332)을 배포했다.
이 윈도 취약점은 사용자가 인터넷 익스플로러를 이용해 악성 페이지를 방문할 때 감염되는데 공격자는 로그인 사용자와 동일한 권한으로 코드를 실행할 수 있다.
석플라이 공격그룹이 지금까지 인증서를 사용해 악성코드를 서명한 유일한 조직은 아니지만 가장 많은 인증서를 수집한 조직일 수 있다. 세계 최초의 사이버무기로 알려진 스턱스넷(Stuxnet)은 석플라이보다 훨씬 이전에 대만 소재 기업에서 훔친 인증서를 서명에 이용했다.
블랙 바인(Black Vine), 히든 링스(Hidden Lynx) 등 다른 사이버스파이 조직 역시 훔친 인증서를 공격에 사용했다.
코드서명 인증서로 악성코드를 서명하려는 시도가 더욱 빈번하게 일어나는 이유는 인터넷과 보안 시스템이 점차 신뢰 및 평판 지향 모델로 이동하고 있기 때문이다. 앞으로 신뢰할 수 없는 소프트웨어의 경우 서명이 없을 경우에는 실행 허가를 받을 수 없게 될 수도 있다.
이전에 시만텍이 애플 위협 환경을 조사한 결과를 보면 맥 OS X와 같은 일부 운영체제는 유효한 인증서로 서명이 돼 있는, 즉 신뢰할 수 있는 애플리케이션에 한해서만 실행을 허용하도록 기본 설정이 돼 있다.
그러나 공격자들이 긍정적인 평판을 가진 기업에서 유효한 코드서명 인증서를 탈취해 사용한다면 해당 기업의 신뢰도에 편승해서 더욱 쉽게 보안 시스템을 통과해 표적 컴퓨터에 접근할 수도 있다.
윤광택 시만텍코리아 제품기술본부 상무는 “공격자들은 탈취한 인증서를 악성코드의 코드서명에 악용함으로써 이를 서명한 해당 기업의 평판이 큰 타격을 받게되고 도난당한 코드서명이 사용된 모든 파일을 새로운 코드서명 인증서로 서명을 하고 재배포 하려면 많은 비용이 발생한다”며 “악성코드 유포자들이 유효한 코드서명을 악용하기 위해 코드서명 인증서를 노리고 있는 만큼 기업들의 각별한 주의가 필요하다”고 말했다.
시만텍은 지난 몇 년간 코드서명 인증서를 탈취해 적법한 파일이나 애플리케이션으로 위장한 사이버범죄 사례들을 다수 발견했다. 이러한 공격 양상이 증가할수록 기업은 강력한 사이버보안 태세를 유지하고 인증서 및 이와 연관된 키를 안전한 환경에 저장하는 것이 그 어느 때보다 중요하다. 암호화나 시만텍의 EV(Extended Validation) 코드 서명 및 시만텍의 시큐어 앱 서비스 등은 한층 강화된 보안을 제공한다.
