보안기업 '코드사인 인증서' 이용 악성코드 발견…KISA 조사중

[아이뉴스24 최은정 기자] 국내 보안업체 M사 '코드사인 인증서'를 이용한 악성코드가 발견돼 한국인터넷진흥원(KISA)이 조사에 착수한 것으로 나타났다.

코드사인 인증서는 소프트웨어(SW)가 정당한 제작자에 의해 개발됐다는 사실을 증명하는 디지털 '인감도장' 역할을 한다. 여기에는 개발사 정보가 표시돼 있어 해당 SW 안전성을 확인할 수 있다. 다운로드하는 고객 입장에서는 안심하고 프로그램을 다운로드 받을 수 있다.

그러나 만약 해커가 악성코드에 서명한 뒤 정상 인증서인 것처럼 배포하면, 이용자는 이를 모르고 SW를 다운받을 수 있어 문제가 된다.

이번에 특정 기업 코드서명 인증서가 발견됐다는 점에서 해당 기업 솔루션을 사용하는 고객 역시 안심할 수 없는 상황이다. 해커가 정상 모듈로 위장해 악성코드를 고객사에 유포할 수 있기 때문이다.

31일 KISA 등에 따르면 보안업체 M사 인증서를 이용한 악성코드가 해외서버에 유포된 정황이 지난 30일 포착됐다.

이를 제보받은 KISA는 바로 M사에 찾아 해당 기업과 관련 사안에 대한 조치를 취했다.

KISA는 문제가 된 인증서를 한국전자인증과 공조, 폐기 절차를 진행했고 30일 17시49분경 폐기를 완료한 상태다. 이후 사건 원인과 향후 조치를 위한 논의에도 착수한 상태다.

현재로서는 해커가 인증서 악성코드로 어느 기업·기관을 공격했는지 불명확한 상황. 어떤 방식으로 인증서를 악용했는지도 확인이 필요해 현재 이를 파악하기 위한 조사가 진행중이다.

문종현 이스트시큐리티 시큐리티대응센터(ESRC) 센터장은 "해당기업 인증서를 폐기했다는 것 자체가 해킹당한 인증서라는 뜻"이라며 "정확히 어느 부분이 해킹 당했는지는 앞으로 (관련 기관·기업의) 조사과정을 통해 밝혀질 것"이라고 말했다.

M사는 "인증서 폐기가 완료돼 더이상 악용되지 못하도록 즉각 조치했다"며 "당사는 발생할 수 있는 모든 문제에 대해 면밀한 검토를 진행하고 있으며 이를 위한 조치에 최선을 다할 것"이라고 밝혔다.

한편 일각에서는 이번 악성코드가 지난 2016년 국방부 내부망을 해킹했던 북한 추정 해커조직 소행으로 추측하고 있다. 당시 사용됐던 코드 암호가 이번에 동일하게 사용됐다는 주장이다.