[보안뉴스 오병민] 국내 주요 소프트웨어 기업들의 전자 서명을 위조한 악성코드가 해외에서 발견돼 주의가 요구되고 있다. 다행히 현재 유출됐던 인증서가 대부분 갱신됐으며 해당 악성코드들 역시 백신으로도 진단과 치료가 가능하다.

문제가 된 기업의 전자서명은 ‘넥슨’과 ‘NHN’의 각 미국법인 그리고 ‘이스트소프트’의 전자서명으로 파악되고 있다.

전자서명은 프로그램이 설치될 때 해당기업의 제품이라는 것을 증명하는 인증이다. 따라서 악성 공격자가 전자서명을 위조하면 악성코드도 정식 제품으로 둔갑해 설치할 수 있으며 백신의 탐지와 검사를 우회할 수도 있다.

이 같은 수법은 이미 스카다시스템을 노린 스턱스넷(STUXNET)과 듀큐(DUQU)의 악성코드에서도 이용됐던 수법이다. 최상명 하우리 팀장은 “스턱스넷이나 듀큐는 당시 대만의 하드웨어 제조사의 전자서명을 이용해 백신을 우회했다”면서 “당시에는 해당업체가 인증서를 폐기하기 전까지 유효한 전자서명이었기 때문에 서명에 대한 개인키가 해킹이나 다른 수법으로 유출됐을 가능성이 높은 것으로 파악됐다”고 말했다.

넥슨과 NHN은 이미 올 봄에 해당 인증서에 대한 문제를 파악하고 새로운 인증서로 교체했다고 전했다. 넥슨 측의 한 관계자는 “해당 악성코드에서 이용된 인증서는 이미 폐기돼 제 역할을 못한다”면서 “게다가 이번에 악성코드에서 발견된 전자서명은 그냥 유효하지 않은 예전 전자서명이 그대로 붙어있었던 것으로 확인됐다”고 밝혔다.

NHN의 한 관계자는 “2011년 상반기에 NHN USA의 기술개발자 PC가 악성코드에 감염된 것으로 확인돼 유출된 인증서를 폐기하고 새로운 인증서로 갱신해 지금은 문제가 없는 것으로 확인했다”고 말했다.

이스트소프트 측은 현재 기존 전자 서명을 무효화시키기 위해 재발급 절차를 진행한 것으로 파악됐다. 이스트소프트 측은 재발급 절차가 완료됐고 현재 알툴즈 전 제품에 적용 중이라고 밝혔다.

전문가들은 “최근 악성코드들이 백신을 우회하기 위해 기업의 전자서명을 이용하는 사례가 부쩍 늘고 있다”면서 “만약 전자서명 서명자의 개인키가 유출될 경우 악성코드를 정상적인 프로그램으로 둔갑시킬 수 있다”고 경고했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>