• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

공인인증서 1,632건 또 유출 ‘빙산의 일각’ 2014.06.11

지난 5월 초 공인인증서 약 7천여건 유출에 이어 1632건 추가 유출
전체 공격 중 일부만 확인돼 실제 피해범위 더 클 것
PC용 인증서만 비교시 지난해 전체 유출량의 10배 이상 탈취돼

[보안뉴스 김경애] 지난 5월 초 공인인증서 약 7천여건이 유출된 데 이어 개인사업자와 의료기관의 법인 인증서 1632건의 수집정황이 추가로 포착됐다. 이는 빛스캔의 C&C서버 추적에 의해 유출 확인됐으며, 지난 5월 초 첫 사례 확인 이후 두 번째다.


인증서는 은행, 병원 및 의료기관, 교육계 등을 포함한 다양한 분야로 확인됐으며, 유출된 법인 중에는 상장기업도 포함되어 있는 것으로 알려졌다. 또한 유효기간은 만료됐으나 행정망 접속을 위한 인증서도 발견됐다.


이번에 탈취된 인증서는 5월 말과 6월 초 두 차례에 걸쳐 국내 어학원 사이트를 통해 뿌려진 소규모 악성코드 유포를 추적해 확인됐다. 이번 탈취 사건은 2013년 전체 유출 목록 7633건(PC용과 스마트폰 인증서 합산)을 넘는 8600여건 이상이다.


또한 전체 공격 중에 일부만 확인된 상황이라 실제 피해범위는 더 광범위할 것으로 빛스캔 측은 예측했다. PC용 인증서만 비교해 볼 때 지난해 전체 유출량의 10배 이상의 인증서가 탈취된 것이다.


인증서 용도는 금융거래의 개인인증서 탈취가 대부분이나 증권을 포함한 기업용 인증서들도 포함돼 있다. 증권거래용 인증서 항목의 경우 동일 IP에서 각기 다른 증권사를 이용하는 여러 사용자의 인증서도 발견됐으며, 추가적인 의심 정황도 포착됐다.


인증서가 유출된 PC의 경우, 이미 악성코드에 감염된 상태라서 추가적인 정보 및 키 입력 정보의 유출 등이 가능하다. 그만큼 금융자산의 유출 가능성이 높다는 것. 더구나 법인용 인증서의 경우 기업의 존망에도 직접적인 영향을 줄 수 있기 때문에 심각한 상황이다.


그럼에도 불구하고 보안과 관련해 기본적인 위험관리도 제대로 이루어지지 않는 실정이다. 압축파일로 보관된 인증서 항목 중에는 USB에 저장된 인증서 항목들도 연결 시점에 모두 수집된 것으로 보여 단순히 USB에 인증서를 보관하는 것으로 위험을 예방할 수 없다는 설명이다.  


웹서핑을 통한 악성코드 감염을 줄일 수 없다면 문제는 계속될 수밖에 없다. 또한 내부망 접속에 이용되는 사설 인증서들과 유효기간이 만료되긴 했지만, 행정망에 접속할 수 있는 인증서들도 수집된 정황을 볼 때 내부망 침입시도들도 충분히 발생 될 수 있다는 얘기다.  


일반적으로 파밍 악성코드 감염은 이메일이나 불법파일 다운로드에 의해 감염돼 발생된다고 알려져 있다. 그러나 실제로는 웹을 통해 금융정보 탈취 피해가 발생되고 있음을 이번 사례가 입증하고 있다.


국내 인터넷 환경을 위협하는 공격자들은 금융정보 수집을 위해 인증서를 탈취하고, 이후 차단에 대비해 정보를 변경하는 관리도구들까지 대규모로 이용한 실체가 처음 확인됐다.


일반적인 공격의 순서는 △다수의 웹서비스를 통해 접속만으로도 악성코드에 감염되도록 설정 △모든 접속자들은 취약한 Java , IE, Flash 버전 사용시에 즉시 감염△PC 내에 존재하는 공인인증서 파일을 압축해 관리서버로 전달 △감염된 PC들은 별도의 좀비PC 관리 프로그램을 통해 관리된다. 이를 통해 웹서핑시 금융정보를 입력하는 파밍사이트로 연결되도록 함으로써 정보 입력 시에는 금융 피해가 즉시 발생될 수 있다.


빛스캔에서 확인한 공격자 서버의 모든 인증서 파일들은 추가 피해 방지를 위해 한국인터넷진흥원(KISA)에 신속히 전달되어 인증서 폐기가 완료됐다. 또한 감염에 이용된 악성코드들도 전달되어 국내 주요 백신을 이용해 치료가 가능하다. 


그러나 금융정보 탈취 및 좀비PC 확보를 위한 악성코드들은 한국 인터넷 사용자들을 대상으로 계속 유포되고 있다. 특히 매주 새로운 악성코드에 의한 감염이 국내 주요 사이트들에서 발생되고 있으며, 악성파일이 계속 변경되고 있어 추적에도 어려움이 예상된다.  

이와 관련 빛스캔 측은 “지난 5월과 6월에 발견된 두 차례의 확인 결과는 일부분을 통해 확인된 사안으로 위협상황은 빙산의 일각”이라며 “이용자에 대한 홍보와 계도활동을 넘어서 웹을 통한 악성코드 유포를 예방하고, 피해를 최소화할 수 있는 적극적인 노력이 필요하다”고 강조했다.


이어 빛스캔 측은 “단순히 사용자의 주의 촉구만으로는 문제가 해결되기가 어렵고, 국내 인터넷 서비스의 취약성을 개선하기 위하 각 서비스 제공자들이 공동 노력에 나서야 한다”며, “이와 함께 대량 유포에 이용되는 통로들을 빠르게 확인·차단해 피해를 줄일 수 있도록 해야 한다”고 덧붙였다.

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>