빛스캔, 국가기반 시설의 대외인증서 유출 확인
빛스캔, 국가기반 시설의 대외인증서 유출 확인
  • 김문구 기자
  • 승인 2015.01.07 09:58
  • 댓글 0
이 기사를 공유합니다

[아이티비즈] 2013년 1월말부터 대규모로 등장한 파밍 악성코드는 현재한국웹사이트를 통한 악성코드 유포에서 1순위를 차지하고 있다.

이에 빛스캔에서는 문제의 심각성을 인지하고 파밍 악성코드의 초기 시점부터 현재까지 추적을 하여 정보를 제공하고 있으며, 특히 2014년 4월부터는 국내 인터넷 금융 이용자의 피해 최소화를 위해 공격자의 서버에서 대한 모니터링을 강화하여 탈취된 공인인증서를 부분적으로 확인하고 있다. 확인된 금융 관련 정보는 KISA 및 관련 기관에 전달하여 차후 발생가능성이 있는 금융사기를 예방할 수 있도록 하고 있다. 인증서 수집 방법과 관련하여 관련 기관과의 협의를 거쳐 10월 이후는 실제 인증서의 수집없이 메타데이터만을 확인하는 형태로 운영하고 있다.

내부에 감염된 단 한 대의 좀비PC가 출발점이었던 사고들은 2010년 이후의 대형 사고 대부분을 차지하고 있다. 국내뿐 아니라 해외도 마찬가지로,단 한 대의 내부 PC 감염이 모든 파괴와 재앙의 출발점이었다. 악성코드에 감염되었다는 점에 있어서, 파밍형 악성코드에 감염된 현상 자체가 중요한 사안이 아니다. 수 백배 더 중요한 부분은 내부에 좀비PC가 생성이 되었고 언제든 공격자에 의해서 내부 침입에 이용될 수 있다는 점이다. 탈취된 기업/기관의 인증서들은 해당 기업과 기관의 내부에 좀비PC가 존재한다는 사실과 동일하지 않을까?

악성코드에 의해 탈취된 인증서들의 메타데이터를 추출하여 분석한 결과, 개인이 발급받은 인증서가 약 70% 정도를 차지하였고, 나머지는 기업 또는 국가 및 공공기관의 인증서로 확인되고 있다. 특히, 최근 이슈가 되고 있는 원자력과 관련하여 한국전력, 원자력안전평가원, 원자력 의료원 등의 대외 인증서들을 비롯하여 한전에서 발행된 인증서를 보유한 기업들의 인증서 목록도 추가로 확인되었다.

일반적으로 원자력 및 전력 관련 인증서는 일반인이 보유한 PC에 저장될 가능성이 거의 없을 것으로 판단되며, 따라서 해당 인증서는 기관/기업내의 인터넷 이용이 가능한 PC 또는 승인된 사용자의 일반 PC에서 유출될 가능성이 매우 높다고 보여진다.

▲ [그림 1] 유출 확인된 원자력 관련 공인인증서 – 메타데이터 추출

게다가, 앞서 언급한 원자력 및 한전 이외에도 다른 기반 시설로 추정되는 기관 관련 인증서도 다수 유출된 점도 확인할 수 있었다. 만약, 해당 인증서가 내부 PC에서 빠져나갔고, 해당 PC는 공격자가 이미 권한을 가지고 있다면, 중요한 문서자료를 빼내거나, 중요하게 보호되고 있는 내부 서버들에 침입하기 위한 통로로 이용될 수 있다.

수집된 인증서는 모두 KISA 및 관련 기관으로 제공되어 폐기 과정을 진행하였지만, 인증서 폐기만으로 보안상의 문제를 해결할 수는 없다. 각 기업이나 기관 내부에 감염된 좀비PC들은 여전히 살아 있고, 언제든 즉시 침입에 이용 될 수 있는 상태에 놓여 있다는 것은 보다 심각한 문제로 언제든 발전할 수 있다.

▲ [그림 2] 2014. 8월 확인 즉시 통보된 인증서 – 유효기간 만료된 원자력안전평가원 인증서

그림 2의 경우 2014년 7월에 발생한 XX투어 등 다수 여행사를 통한 대량 감염 시도를 통해 탈취된 인증서로 확인된 사인이다. 참고로, 수집하여 확인된 후, 즉시 해당 기관에 제공되었으며, KISA 및 관련기관으로도 전달된 바가 있다. (2014년 10월 이전까지는 불법 탈취된 인증서 자체에 대해 피해 예방을 위해 수집을 하였으나, 10월 이후는 인증서의 실물 수집 없이 메타데이터만 확인 하는 형태.)

공격자들은 악성코드를 유포하여 매월 수만건에서수십여만건의 공인인증서를 수집하고 있으며, 1차적인 목적인 금융정보 탈취용 악성파일뿐 아니라 원격에서 직접 조정이 되는 백도어들도 모두 설치된 상태라는 점을 잊어서는 안 된다. 금융정보가 없어서 안심해야 하는 것이 아니라, 감염되어 원격에서 완벽하게 조정이 된다는 것이 더욱 심각한 상황이라는 점이다. 좀비PC 감염 방지를 위한 주요 기업들의 대응과 노력들은 계속 되고 있지만, 변화를 따라가지 못하는 역부족인 상황을 여실히 확인할 수 있다.

메타 데이터로 분석한 결과, 원자력 및 한전 뿐만 아니라 국내 기간망에 연관된 다양한 기업 및 기관에 대한 인증서들도 발견이 되었다. 그만큼 침입할 수 있는 거점과 피해가 발생될 수 있는 여지가 충분히 높다는 것이다. 인터넷 사용이 허용된 구간에 대해서는 접점의 문제가 항상 존재하고, 웹서핑을 통한 감염에 대해서도 충분한 대비를 해야만 한다. 단순히 유해사이트 목록을 통해 차단 하는 것이 감염을 막아주지 않는다. 단순 접근금지 목록 수준으로 관리가 가능한 상황은 이미 오래 전에 넘은 현실이다.

▲ [그림 3] 유출 확인된 기반시설 관련 공인인증서 일부 – 메타데이터 추출

매년 웹을 이용하여 악성코드를 유포하는방식은 더욱 극심해지고 있으며, 최근에는 공격 형태도 다양하게 나타나고 있어 탐지가 힘든 상태이다. 특히, 해외에서 활동중인 공격도구가 국내에 유입되고 있어서, 일반 사용자들 입장에서 대응 하기는 매우 힘겨운 상황에 처하고 있다.공격 기술의 발전에 비해,보호 기술의 발전은 미미한 상태라 “소 잃고 외양간 고치기”가 끊임 없이 반복되고 있다.

피해가 제한적인 공격 형태는 이미 2000년 이후 웜의 출현으로 의미가 없어졌다. 웜 이후 이제는 웹서비스를 통한 대량 감염이라는 방식이 주류가 됨에 따라 피해는 즉시적이고 폭넓게 나타난다. 단 몇 시간 동안의 감염으로도 수 만대의 좀비PC를 즉시 동원하여 공격에 이용할 수 있는 상태에 직면한 상황임을 2013년의 6.25 공격에서도 확인 할 수 있다.

선제적인 대응과 확산 이전 단계에서의 대응이 최선이고,사고 나기 이전에라도 관련된 정보를 이용하여 분석과 대응을 준비하는 단계가 차선이 될 것이다. 빠른 위협 정보의 확보와 분석은 필수조건에 해당된다. 조기 경보가 되지 않는 상황에서 모든 대응은 패배한 상황에서의 최선이 될 뿐이다. 관찰 되지 않는 위협은 이제 사회 근간을 직접 위협 하는 상태에 도달해 있다. 2015년 1월 현재도 한국 인터넷의 위협레벨은 “경고”이다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.