한국전력·원자력안전평가원 등 대외 인증서 유출 확인돼

[보안뉴스 김태형] 지난해 12월 발생한 한국수력원자력의 사이버 공격과 자료유출 사건이 이슈가 되고 있는 가운데, 한국전력, 원자력안전평가원, 원자력의료원 등 원자력관련 기관들의 대외 인증서, 그리고 한전 발행 인증서를 보유한 기업들의 인증서가 악성코드에 의해 탈취된 정황이 포착됐다.

빛스캔에 따르면 악성코드에 의해 탈취된 인증서들의 메타데이터를 추출해 분석한 결과, 개인이 발급받은 인증서가 약 70% 정도를 차지했고, 나머지는 기업 또는 국가 및 공공기관의 인증서로 확인된 것으로 알려졌다. 특히, 최근 이슈가 되고 있는 원자력과 관련해 한국전력, 원자력안전평가원, 원자력의료원 등의 대외 인증서들을 비롯해 한전에서 발행된 인증서를 보유한 기업들의 인증서 목록도 추가로 확인됐다는 것.  

일반적으로 원자력 및 전력 관련 인증서는 일반인이 보유한 PC에 저장될 가능성이 거의 없다. 하지만 해당 기관의 인증서는 기관·기업 내의 인터넷 이용이 가능한 PC 또는 승인된 사용자의 일반 PC에서 유출될 가능성이 매우 높을 것으로 추정된다는 게 빛스캔 측의 설명이다.

이에 원자력 및 한전 이외에 다른 기반 시설로 추정되는 기관과 관련된 인증서가 다수 유출된 점도 확인할 수 있었다는 것. 빛스캔 측은 만약 해당 인증서가 내부 PC에서 빠져나갔고 해당 PC는 공격자가 이미 권한을 가지고 있다면 중요한 문서자료를 빼내거나 중요하게 보호되고 있는 내부 서버들에 침입하기 위한 통로로 이용될 수 있다고 설명했다.

빛스캔에 수집된 인증서는 모두 KISA 및 관련 기관으로 제공되어 폐기됐지만, 인증서 폐기만으로 보안상의 문제를 해결할 수는 없다는 설명이다. 각 기업이나 기관 내부에 감염된 좀비PC들은 여전히 살아 있고 언제든 즉시 침입에 이용 될 수 있는 상태에 놓여 있다는 것은 보다 심각한 문제로 언제든 발전할 수 있기 때문이다.

지난 2014년 7월에도 다수의 여행사를 통한 대량 감염 시도를 통해 탈취된 인증서를 수집해 확인한 후, 즉시 KISA 및 관련기관에 전달했다고 빛스캔 측은 밝혔다. 이처럼 공격자들은 악성코드를 유포해 매월 수 만건에서 수십 여만건의 공인인증서를 수집하고 있다.

이를 통해 공격자들은 1차적인 목적인 금융정보 탈취용 악성파일뿐만 아니라, 원격에서 직접 조정이 가능한 백도어들도 모두 설치했다고 볼 수 있다. 이에 금융정보가 없어서 안심해야 하는 것이 아니라 감염되어 원격에서도 완벽하게 조정될 수 있어 더욱 심각한 상황이라는 게 문제다.

빛스캔 관계자는 “메타 데이터로 분석한 결과, 원자력과 한전뿐만 아니라 국내 기간망에 연관된 다양한 기업 및 기관에 대한 인증서들도 발견돼다. 그만큼 침입할 수 있는 거점과 피해가 발생될 수 있는 여지가 충분하다”면서 “인터넷 사용이 허용된 구간에 대해서는 접점의 문제가 항상 존재하고 웹서핑을 통한 감염에 대해서도 충분하게 대비해야 한다. 단순히 유해사이트 목록을 통해 차단하는 것이 감염을 막지 못한다. 단순 접근금지 목록 수준으로 관리가 가능한 상황은 이미 오래 전에 넘은 현실”이라고 말했다.

매년 웹을 이용해 악성코드를 유포하는 방식은 더욱 극심해지고 있으며, 최근에는 공격 형태도 다양하게 나타나고 있어 탐지가 힘든 상태다. 특히, 해외에서 활동 중인 공격도구가 국내에 유입되고 있어 일반 사용자들 입장에서 대응하기는 매우 힘겨운 상황이다.

이와 관련 빛스캔 관계자는 “선제적인 대응과 확산 이전 단계에서의 대응이 최선이고 사고가 발생하기 이전에라도 관련된 정보를 이용해 분석과 대응을 준비하는 단계가 차선이 될 것이다. 빠른 위협 정보의 확보와 분석은 필수조건에 해당된다”면서 “조기 경보가 되지 않는 상황에서 모든 대응은 패배한 상황에서의 최선이 될 뿐이다. 관찰되지 않는 위협은 이제 사회 근간을 직접 위협하는 상태에 도달해 있다. 2015년 1월 현재도 한국 인터넷의 위협레벨은 경고 상태”라고 강조했다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>