디지털 인증서 악용, 가장 빠르고 쉬운 우회 기법
과거엔 표적형 공격에만, 현재에는 다양한 공격기법에 활용

[보안뉴스 문가용] 공격자들이 디지털 인증서를 멀웨어 및 크라임웨어 페이로드에 점점 더 많이 사용하기 시작했다는 현상에 대한 보고서를 보안 전문업체인 지스케일러(Zscaler)가 발표했다. 이번 보고서에는 새로운 데이터 탈취용 트로이목마가 예로 등장했는데, 이 트로이목마는 보안 관리 툴들을 우회하기 위해 합법적인 인증서를 활용하고 있었다.

이 스파이웨어의 이름은 스파이멜(Spymel). 난독화처리가 되어 있고 인증서까지 갖추어 ‘합법’의 탈을 쓰고 있기도 하다. 스파이멜이 갖추고 있는 인증서는 디지서트(DigiCert)라는 합법적인 인증기관에서 발행한 것으로 사실은 SBO 인베스트(SBO Invest)라는 기관에 발행한 것이다. 디지서트는 해당 인증서를 폐기했지만, 그에 맞춰 스파이멜도 업데이트가 되었다. SBO 인베스트의 또 다른 인증서를 탈취해 사용한 것이다.

윈도우 시스템을 감염시키기 위해 공격자들은 악성 자바스크립트 파일을 이메일 첨부파일로 보낸다. 사용자가 이 첨부파일을 실행할 경우 스파이멜이 다운로드 되어 설치된다. 그런 후에 스파이멜은 작업관리자(Task Manager)와 프로세스 관리도구(Process Explorer) 등의 애플리케이션들을 관찰한다. 키스트로크를 로깅하면서, 동시에 멀웨어를 잡아낼 만한 앱이 실행되지 못하다록 한다. C&C 서버와 통신하면서 사용자의 활동사항과 돌아가고 있는 프로세스들에 대한 정보를 보낸다.

여기까지 스파이멜에 별다른 특이사항은 없다. 다만 이 모든 과정에 훔친 디지털 인증서를 사용해 멀웨어 탐지툴 및 백신 소프트웨어들을 비껴간다는 것이 주목해야 할 점이다. 훔친 인증서를 내밀기 때문에 시스템이 보기에는 이 멀웨어가 합법적인 소프트웨어로 보인다.

최근 들어 멀웨어 제작자들은 디지털 인증서를 자주 훔쳐내고 있다. 심지어 가짜 정보를 가지고 새로운 인증서를 받아내기도 한다. “디지털 인증서는 현재의 인터넷 생태계에서 거의 ‘맹목적인’ 신뢰를 받고 있습니다. 이것만 있으면 무조건 믿을만한 것이 되어 버리죠.” 지스케일러의 보안 책임자인 디픈 데사이(Deepen Desai)의 설명이다. “그렇기 때문에 이것만 있으면 애써 다른 기능을 개발해 탐지기능을 우회할 필요가 없어지는 거죠. 여기에 공격자들이 착안한 겁니다.”

특히나 봇넷과 스파이웨어, 애드웨어를 사용하는 해커들 사이에서 디지털 인증서 탈취법이 널리 애용되고 있다고 한다. 이를 해외에서는 사인드 멀웨어, 서명된 멀웨어(signed malware)라고 부른다. “물론 최근에야 등장한 기법은 아닙니다. 수년 전부터 있어왔어요. 다만 예전엔 표적공격에 주로 사용되었죠. 이처럼 서명된 멀웨어가 광범위하게 다른 종류의 공격에 응용된 건 최근에 들어서입니다.”

서명된 멀웨어가 큰 유행을 타고 있는 건 성공률이 높기 때문이다. “가짜 정보로 인증서를 취득하는 것이나 다른 합법적인 인증서를 훔치는 것 모두 굉장히 간단하고 비용도 저렴합니다. 이는 인증서를 발급하는 과정에 취약점이 존재하기 때문입니다. 모든 인증서 발급 과정이 그렇다는 게 아니라, 일부 기관에서 그런 점들이 발견되곤 합니다.”

가짜 인증서를 활용한 공격이 보고된 것이 올해만(이제 1월 초인데!) 두 번째다. 이번 스파이멜 외에 훔친 인증서를 가지고 탈옥하지 않은 iOS 기기에도 침입하는 악성 앱들에 대해서도 경고한 바 있다. 2016년, 신뢰의 측면에서 커다란 위기를 맞이할 거라는 전망도 나왔었다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>