[아이뉴스24 김혜경 기자] 최근 마이크로소프트(MS)의 디지털 서명이 포함된 멀웨어(악성 소프트웨어)가 발견되면서 국내외 보안업계에 비상이 걸렸다. 공격자가 'MS 인증'이라는 신뢰성을 악용했다는 점에서 각별한 주의가 요구된다는 지적이다. 소프트웨어(SW) 생태계의 맹점이 이용됐다는 점에서 공급망 보안 문제가 재차 부각되고 있다.
16일 보안업계에 따르면 맨디언트(Mandiant)와 센티넬원(SentinelOne), 소포스(Sophos)등은 지난 13일(현지시간) 이 같은 내용을 골자로 한 보고서를 발표했다. 이들은 사이버 침해사고를 조사하던 중 이 같은 사실을 발견하고 지난 10월 19일 MS에 제보했다.
공격자는 '윈도우 하드웨어 개발자 프로그램(Windows Hardware Developer Program)' 인증서를 자신이 제작한 악성 드라이버 서명에 악용한 것으로 나타났다. 표먼적으로 본다면 MS가 전자 서명을 통해 특정 멀웨어를 인증한 셈이다.
맨디언트는 "초기 관찰 과정에서 '어센티코드(Authenticode)'로 서명된 '푸어트라이(Poortry)' 드라이버 샘플을 포착했다"며 "해당 샘플의 메타 데이터를 살펴보던 중 어센티코드로 서명된 악성 드라이버를 조사했고 특정 위협 행위자가 배후에 있는 것으로 추정되는 멀웨어 계열을 분석, 최소 9개 조직을 식별했다"고 전했다.
어센티코드는 윈도우에서 사용하는 SW와 애플리케이션, 드라이버의 신원 확인을 비롯해 SW 무결성 확인을 위해 MS가 만든 서명 기술이다. 사용자가 모든 것을 확인할 수 없으므로 특정 SW와 앱, 드라이버의 무결성과 안전성을 보장하기 위해 쓰인다.
MS는 보안 공지를 통해 도용된 서명이 소수의 개발자 프로그램 계정에서 한정적으로 발견됐으며, 관련 계정을 차단 조치했다고 전했다. 다만 MS 위협정보센터(MSTIC)는 서명된 멀웨어가 랜섬웨어 유포 이후 침입 활동을 지원하는 데 사용됐을 가능성을 배제할 수 없다고 분석했다.
맨디언트는 이 같은 악성 행위 배후에 'UNC3944'라는 해커그룹이 있다고 추정했다. 이들은 올해 5월부터 활동했으며, 같은해 8월 푸어트라이를 배포한 것으로 보고 있다.
맨디언트는 "6월에 서명된 푸어트라이 드라이버에 인증서가 탑재된 것을 포착했다"며 "여기에는 탈취한 인증서도 포함됐다"고 분석했다. 또 "공격자는 SMS 피싱을 통해 획득한 자격 증명을 사용, 초기 네트워크 접근 권한을 얻은 것으로 보인다"고 전했다.
국내 보안업계도 상황을 예의주시하고 있다. 지난 13일 열린 '사이버보안 정책 포럼' 정기총회에서 해당 이슈가 제기됐다. 공격자가 유출된 디지털 서명을 악용할 경우 보안 탐지를 회피할 가능성도 높기 때문이다.
현재 한국인터넷진흥원(KISA)은 '악의적으로 사용되는 MS 서명 드라이버에 대한 지침'이라는 내용으로 정기 보안 업데이트를 권고한 상황이다.
이만희 한남대 교수는 이날 정기총회에서 "코드사인만 믿으면 안 되는 세상이 왔다"며 "제로 트러스트(Zero-Trust)와 공급망 보안은 맞물릴 수밖에 없을 것"이라고 말했다.
문종현 이스트시큐리티 이사는 "국내에서도 13일 오전부터 비상이 걸린 상황"이라며 "탈취된 MS 서명이 실제 다크웹·딥웹에서 거래될 경우 문제는 더 커질 수 있다"고 말했다.
이어 "해당 이슈와 관련 있을 것으로 의심되는 멀웨어를 비롯해 300여개의 악성코드를 모니터링하고 있다"며 "공급망 공격 시 디지털 서명이 사용될 수 있다는 점도 고려해야 한다"고 덧붙였다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기