지난 주말 24시간 동안 공인인증서 72개 탈취 피해

[보안뉴스 김태형] 지난 주말 악성코드에 의한 공인인증서 탈취 피해가 발견되어 이용자들의 주의가 필요하다.

KAIST(카이스트) 사이버보안연구센터 최상용 악성코드분석 실장은 “KAIST 사이버보안연구센터(이하 CSRC)에서는 2010년 설립이후 악성코드 유포·경유지를 상시적으로 모니터링하고 발견된 새로운 악성코드를 분석하여 서비스하는 연구를 수행하고 있다”면서 “악성코드 유포/경유지를 모니터링 하던 중, 지난 주말 공인인증서 탈취 피해사항이 분석됐다”고 밝혔다. 

  

최상용 실장은 “사이버보안연구센터의 Simon을 이용해 수집된 악성코드를 분석한 결과, 금융정보 탈취를 시도하기 위해 호스트파일을 변조하는 악성코드를 확인했다. 여기서 나온 외부 접속 서버를 추적한 결과 공인인증서를 탈취해 저장하는 서버에 접근이 가능했다”라고 설명했다.

이어서 그는 “확인결과 24시간 동안 총 72개 IP에서 공인인증서 탈취를 확인했으며 이와 유사한 형식의 변종 악성코드는 1주일간 총 5회에 걸쳐 유포됐다. 변종마다 탈취한 공인인증서를 저장하는 서버는 다른 것으로 확인된다”고 덧붙였다.

분석결과에 따르면, 최초 악성코드 유포는 다중 취약점을 이용하는 일반적인 악성코드 유포 방식을 이용한 것으로 분석됐다. 이를 이용해 호스트 파일을 변조했고, 변조된 호스트 파일로 인해 피싱사이트로 이동하게 되면 보안 모듈로 위장한 악성코드가 설치되어 일반 보안 모듈과 동일한 형태로 동작 여부를 묻는다.

‘동작’으로 선택하면 해커가 만들어 놓은 서버로 사용자 PC에 저장되어 있는 공인인증서를 복사한다. 일반적으로 피싱사이트를 쉽게 확인하는 방법은 보안카드번호 전체를 질의할 때 확인하는 방법이 있으나 이미 그 전에 공인인증서가 유출되기 때문에 금융정보 탈취 외에도 개인정보 도용 등 2차 피해가 우려되는 상황으로 파악된다.

현재 해당 공인인증서 저장서버와 악성코드 유포지는 발견과 동시에 금융결제원과 한국인터넷진흥원에 신고된 상태이며, 이와 같은 피해를 줄이기 위해서는 백신과 보안업데이트를 최신 버전으로 설치해야 한다.

이와 관련 최 실장은 “이와 같은 Drive-by download 공격에 대한 궁극적인 대응방안은 그 원인이 PC에 존재하는 취약점을 사용하는 것이기 때문에 취약점을 제거하는 것이 가장 좋은 방법”이라면서 “취약점을 제거하기 위해서는 윈도우 보안업데이트 뿐만 아니라 Adobe flash player, Acrobat Reader 등의 보안 업데이트 또한 최신으로 유지해야 한다”고 강조했다. 아울러 백신을 필히 사용하고 백신엔진을 최신으로 유지하는 것도 중요하다고 덧붙였다.

한편, 카이스트에서는 자체적으로 개발한 웹페이지 비정상 정보분석 시스템(SIMon, Suspicious Infomation Monitoring System in Website)를 이용해 악성코드 유포·경유지를 상시 모니터링 하고 있으며, 이번에 발견된 악성코드도 이 시스템에서 탐지된 것이다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>