감염된 PC에서 유출된 인증서들, 공격자 운영 서버에 별도 보관

[보안뉴스 김경애] 지난 3일 국제특허 관련 법률사무소 웹사이트를 비롯해 다른 취약한 사이트들에 공격코드를 올려놓은 정황이 포착돼 또 다시 국내 웹사이트에 긴장감이 감돌고 있다.

빛스캔(대표 문일준)에 따르면 특허관련 사무소 웹서비스의 권한은 이미 공격자가 획득한 상태며, 정체가 노출될 수 있는 공격링크를 직접 활용한 것으로 보아 내부 침입은 물론 정보 탈취까지 이뤄졌을 것으로 추정된다고 밝혔다.

국제특허관련 법률사무소 웹사이트에 삽입된 공격코드는 Caihong EK(변종)과 최근 국내 인터넷 환경에서 지속적으로 쓰이고 있는 최신 취약점인 CVE-2014-6332를 사용하는 것으로 확인됐으며, 이를 통해 다운로드 되는 바이너리는 파밍 악성코드 및 공인인증서 탈취 기능으로 분석됐다.

감염된 PC에서 유출된 인증서들은 공격자가 운영하는 별도의 서버에 보관되어 있었고, 매주 관계기관에 전달해 대응할 수 있도록 하고 있다. 그 인증서 목록에서도 특허법인 및 특허사무소들의 인증서들이 확인된 상황이다. 즉, 인증서를 활용한 추가적인 접근이나 도용 이외에도 내부에 감염된 PC들이 존재하고 있다는 것.

특히 이번 공격 사건에서 주목할 점은 공격자가 특허기술 정보를 노렸다는 점이다. 이는 삼성과 애플의 특허전쟁을 보면 알 수 있듯이 세계적인 기업일수록 특허 관련 분쟁에서 자유롭지 못한 상황임을 볼 수 있다. 그만큼 기술정보는 매우 중요하다.

게다가 최근 웹사이트 공격이 확산되고 있으며, 공격방법은 날이 갈수록 고도화, 지능화되고 있다. 그러나 국내 대다수의 웹사이트가 여전히 취약한 상태다. 매주, 매달, 매년 악성코드 유포지의 이용은 계속될 수밖에 없다. 끊임없이 웹을 통한 악성코드 감염을 체크하고, 전체 보안 수준을 일정수준 이상으로 유지해야 한다는 게 빛스캔 측의 설명이다.

더욱이 산업기밀을 보호하려는 노력은 사회 전반적인 차원에서 접근해야 한다. 무엇보다 기업기밀들이 집중되는 특허관련 업체들의 보호대책이 시급히 마련되어야 한다. 이를 위해선 웹과 메일을 통한 내부 침입과 정보 유출을 차단하기 위한 노력이 선행되어야 한다는 지적이다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>