특정 국가 배후의 해킹조직이 국내 정보보호기업 제품의 코드서명 인증서를 탈취한 사실이 드러났다.
코드서명 인증서는 일종의 '인감도장'이다. 소프트웨어(SW) 등 프로그램의 진위와 무결성을 보장하는 장치다. 탈취한 코드서명 인증서를 악용, 악성코드를 담은 프로그램을 정상 프로그램으로 둔갑시켜 유포할 수 있어 주의가 요구된다.
20일 정보보호산업계와 한국인터넷진흥원(KISA)에 따르면, 소만사는 최근 고객사에 “국가 단위(국가배후) 외부 해킹그룹의 공격을 받아 제품의 코드서명 인증서가 유출된 정황이 발견됐다”고 공지했다.
그러면서 “지난 6일부터 KISA와 함께 2차 피해 방지를 위해 적극적으로 내부 시스템을 점검하고 있다”고 덧붙였다. 아직 조사가 진행 중이어서 해킹조직의 배후 국가가 어디인지는 알려지지 않았다.
코드서명 인증서는 온라인에서 유통되는 프로그램을 내려받을 때, 프로그램이 신뢰할 수 있고 안전하다는 점을 증명하는 디지털서명이다. 프로그램이 변경되지 않았고, 신뢰할 수 있는 회사에서 안전하게 배포했다는 점을 해당 기업(개발사)이 인감도장 찍듯 코드서명 인증서로 증명하는 것이다.
해킹조직이 코드서명 인증서를 타깃으로 삼는 것도 이 때문이다. 악성코드가 포함된 프로그램에 탈취한 인증서를 입혀 마치 정상인 프로그램처럼 유포할 수 있어서다. 안티 바이러스(AV) 등 보안 프로그램을 우회할 수 있어 공격 성공률도 높아진다. 일종의 공급망 공격으로, SW 개발사 공격에 성공하면 공급망에 얽힌 여러 조직 운영에 타격을 줄 수 있다.
지난 2016년 초 북한 해킹조직의 소행으로 결론을 낸 '코드서명 인증서 해킹 사건'이 대표적이다. 북한 해킹조직은 국내 금융정보 보안업체 이니텍의 코드서명을 빼내 악성프로그램을 정상 프로그램으로 둔갑시켜 국토교통부·국세청·서울시청 등 10여개 공공기관의 개인용컴퓨터(PC) 19대를 감염시켰다. 이후에도 SW기업 핸디소프트 등 코드서명 인증서 탈취 사고가 이어졌다.
이번 공격의 경우 일반 SW 개발사가 아닌 보안 기업을 타깃으로 삼았다는 점에서 경각심을 높여야 한다. 재작년 보안 기업 지니언스의 네트워크 접근제어 솔루션 업데이트 서버가 해킹을 당하는 등 보안 기업조차도 사이버 공격의 위협에서 자유롭지 않은 상황이다. 특히 김수키(북한) 등 국가가 배후에 있는 공격의 경후 그 피해 규모나 파장이 더 커질 수 있다.
소만사의 코드서명 인증서 탈취는 2차 피해로 이어지지 않은 것으로 알려졌다. KISA는 소만사의 코드서명 인증서 유출을 포착하고 신속하게 대응해 피해 확산을 막았다. 소만사는 피해확산 방지를 위한 후속조치를 실시하고 있다.
소만사는 공지를 통해 “새로운 인증서로 패키지를 재서명하고 있으며 고객사의 패키지 업데이트 일정에 맞춰 업데이트를 진행할 예정”이라고 밝혔다.
조재학 기자 2jh@etnews.com
![[사설]코드서명 해킹 탈취, 작게 볼 일 아니다](https://img.etnews.com/news/article/2025/02/20/news-a.v1.20250220.05f046225b6a4cbebd84b85c58e40a04_T1.jpg)
