보도자료

한국해킹보안협회는 건전한 정보화 사회의 발전을 위해 노력합니다.

Home > NAHS 소개 > 보도자료
제  목 | 알서포트, 코드 서명 인증서 탈취...해커 공격 시도 [전자신문 Etnews 8월07일자_전자신문 20180808일자 본지 11면]
아이디 | admin
날  짜 | 2018-08-08
조  회 | 119

알서포트, 코드 서명 인증서 탈취...해커 공격 시도


원격 지원 전문기업 알서포트의 코드서명 인증서가 외부로 유출됐다. 해커는 코드서명 인증서를 악용해 악성코드에 서명한 후 특정 알서포트 고객사를 감염시켰다. 코드서명 인증서를 탈취한 공급망(SCM) 공격이다. 

알서포트는 7월 상시 보안점검 중 인증서가 외부로 유출된 징후를 파악했다고 공지했다. 알서포트는 한국인터넷진흥원과 공조해 사고 경위 파악과 인증서를 교체했다. 알서포트는 6일 기존 인증서를 폐기하고 신규 인증서로 대체했다. 알서포트는 고객사 피해를 최소화하는데 집중한다고 밝혔다. 

GettyImages
<GettyImages>

개발사는 인터넷으로 소프트웨어(SW)를 배포할 때 사용자에게 신뢰할 만한 프로그램임을 알리기 위해 코드 서명을 한다. 코드 서명한 SW는 인증기관에서 일종의 디지털 인감을 받는 것과 같다. 인터넷에서 SW를 다운로드할 때 코드 서명이 없으면 알 수 없는 게시자가 배포했다며 '보안 경고창'이 뜬다. 이와 달리 코드 서명된 경우는 개발회사 정보를 알려줘 안심하고 다운받게 한다. 

해커는 이 점을 악용한다. SW제조사 코드서명 인증서를 탈취한 후 악성코드를 해당 인증서로 서명해 배포한다. 공격자는 알서포트 업데이트 서버에 탈취한 코드서명를 붙인 악성 프로그램을 올리려 시도했다. 알서포트 프로그램을 쓰는 고객사를 노린 SCM 공격이다. 알서포트는 매출 절반이 해외에서 나온다. 국내는 물론 해외 고객도 사이버 위협에 노출됐다.

한국인터넷진흥원이 발행한 '코드서명 인증서 보안 가이드'에 따르면 공격자는 인증서 관리가 취약한 부분을 이용해 악성코드를 감염시키고 코드서명 인증서를 탈취한다. 코드 서명 인증서를 개발자 PC에서 관리하거나 사내 인터넷망에 인증서 PC를 두면 해커 표적이 된다.

알서포트는 공지에서 '사내 PC 한 대가 악성코드에 감염돼 코드 서명 인증서가 유출된 것으로 추정된다'고 밝혔다. 내부 PC 관리 소홀로 인한 유출로 보인다.

코드 서명 작업을 하는 PC와 인증서 관리시스템을 일반 업무 PC와 혼용하면 안 된다. 코드 서명용 PC는 인터넷이 연결되지 않은 망분리 환경에 둔다. 타임스탬프 포트를 제외한 모든 포트를 차단한다. 

이번 공격은 3·20 사이버테러 사건과 같이 코드 서명 인증서 탈취 후 업데이트 서버가 악성코드 유포지로 악용된 사례다. 코드 서명 탈취 후 SCM 공격은 해당 제품을 쓰는 고객사를 한꺼번에 악성코드에 감염시키는 대규모 사이버 테러가 가능하다.

한 보안 전문가는 “기업 코드 서명 인증서는 주로 핵심 개발자가 관리한다”면서 “개발사 핵심 역량이 해커에 노출된 것”이라고 설명했다. 이어 “공격자가 개발사 업데이트 서버를 이용해 특정 고객사를 리다이렉션해 악성코드 감염을 시도했다”면서 “발각되기 전 오랜 시간에 걸쳐 공격했을 가능성이 높아 고객사 전수조사가 시급하다”고 말했다.

알서포트 관계자는 “원인을 명확히 조사해 고객사로 2차 피해 방지에 주력하고 있다”면서 “고객사에서는 보안 솔루션을 최신 상태로 업데이트하기를 당부한다”고 밝혔다.

알서포트, 코드 서명 인증서 탈취...해커 공격 시도

김인순 보안 전문기자 insoon@etnews.com 

목록보기
번호 제목 작성자 등록일 조회
'정보화 산증인' 박성득 한국해킹보안협회장 [이현덕.. 관리자 2018-07-18 297
254 북한 해커 꼬리 잡기 [전자신문 Etnews 9월 13일자_전자신문 201.. 관리자 2018-09-14 30
253 끝나지 않은 랜섬웨어 '공포' [전자신문 Etnews 9월 1.. 관리자 2018-09-14 29
252 세상을 변혁시키는 원동력, 사물인터넷 [전자신문 Etnews 9월 11.. 관리자 2018-09-12 35
251 "한국인터넷진흥원(KISA)을 해킹하라" [전자신문 Etnews 9월 2.. 관리자 2018-09-03 69
250 게놈 정보의 민주화 [ET단상] [전자신문 Etnews 8월28일자_전자.. 관리자 2018-08-29 77
249 KISA, 온라인광고 관련 피해예방 나선다 [전자신문 Etnews 8월2.. 관리자 2018-08-29 74
248 과기정통부, 양자정보통신 등 고위험기술 투자 강화 [전자신문 .. 관리자 2018-08-29 73
247 “해킹-변조 걱정 사라졌네” 은행 공동 블록체인 인증서 나왔.. 관리자 2018-08-28 82
246 일감몰아주기 규제 강화에 대형 IT서비스업계도 촉각...매출 구.. 관리자 2018-08-28 77
245 北 라자루스...암호화폐거래소 '맥' 사용자 노렸다 [.. 관리자 2018-08-27 78
244 ICT코리아, 5년 뒤가 두렵다 [벼랑 끝 ICT코리아] [전자신문 Etn.. 관리자 2018-08-27 79
243 소프트웨어 보안, '왼쪽'으로 옮겨야 [전자신문 Etne.. 관리자 2018-08-22 84
242 기승전'암호화폐', 오픈소스 취약점마저 '암호화.. 관리자 2018-08-22 77
241 中 게임패드...동의 없이 과도한 개인정보 유출 [전자신문 Etnew.. 관리자 2018-08-22 88
240 양방향 고객 참여 지능형 AMI 미래 [전자신문 Etnews 8월20일자.. 관리자 2018-08-21 95
12345
(사)한국해킹보안협회 | 대표자:박성득 | 사업자등록번호:104-82-10373
주소:(04195) 서울특별시 마포구 백범로 199 메트로디오빌 빌딩 1107호 대표전화.02)716-9225,9229 팩스.02)716-9265