도난 당한 인증서, '메이드 인 코리아'가 절반 넘어…가짜 앱 악성코드 유포에 활용

사내보안 강화로 인증서 도난 막아야

악성코드 제작자에 탈취돼 무단으로 활용되고 있는 국내 SW개발사의 디지털인증서

아주경제 장윤정 기자 = 국내 SW개발업체들의 디지털 인증서가 위조돼 중국 및 해외 가짜 모바일 앱, 악성코드 유포 등에 악용되고 있다.

관련 업계는 지난해 연말부터 최근까지 국내 업체들의 디지털 인증서가 위조돼 가짜 모바일 앱과 악성코드 등에 무단으로 삽입, 유통되는 사례가 빈번히 발생하고 있다고 경고했다.

디지털 인증서를 털린 업체들은 국내 대형 게임업체를 비롯해 소프트웨어 개발업체 등 다수다. 심지어 국내 백신SW 개발 보안회사의 디지털 인증서까지 털려 악용되는 경우도 발견되고 있어 더욱 주의가 시급하다. 

국내 보안업체 하우리는 17일 국내 SW개발업체의 디지털 인증서가 중국 등 해외 가짜 모바일 앱, 악성코드 제작자 등에게 탈취돼 무단으로 활용되는 사례가 다수 발견됐다고 밝혔다.

최상명 하우리 선행기술팀장은 "지난해 연말부터 악성코드, 가짜 모바일 앱 등을 분석해보면 국내 업체들의 디지털 인증서가 첨부된 경우가 다수 발견된다"며 "가짜 앱에 첨부된 디지털 인증서를 발행한 업체에 문의해보면 인증서를 탈취당한 사실도 모르는 경우가 부지기수"라고 말했다.

최 팀장은 "마이크로소프트 등 유명 SW회사의 디지털 인증서를 무단으로 가져다 신뢰할 수 있는 프로그램인 것처럼 위장하는 경우도 자주 발견되지만 이럴 경우에는 서명정보에 '유효하지 않은 인증서입니다'라고 표기되는 반면 "최근 발견되는 가짜 디지털 인증서는 이 디지털 서명은 유효합니다'라고 나타나는 것으로 미뤄 디지털 인증서를 도난당한 사례일 것"이라고 설명했다.

여러 인증 기관들이 발행하는 디지털 인증은 개발자들이 소프트웨어 프로그램을 '사인'하는 용도로 널리 이용된다. '사인'이란 해당 프로그램이 개발자가 작성한 이후 변형되지 않았음을 실증할 수 있도록 암호화로 확인하는 것을 의미한다.

만약 해커가 인증 자격을 획득해 증명서를 이용할 수 있게 되면, 그들은 자신의 프로그램에 이를 적용해 정상적인 프로그램처럼 꾸밀 수 있다.

최 팀장은 "도난 당한 인증서를 악성코드 등에 이용하는 것이 새로운 기법은 아니지만 이를 위해서는 해커들이 기업이나 인증 기관에 침투해야 하기 때문에 쉽게 할 수 있는 것은 아니다"라며 "인증서를 도난당했다는 것은 소스코드 및 기업 내부의 모든 자료들이 털렸다고 볼수도 있다"고 밝혔다. 

이 문제를 예방하기 위해서는 소프트웨어 개발자들이 스마트 카드, USB 토큰, 하드웨어 보안 모듈과 같은 하드웨어 저장 기기를 활용해 사설 키를 보호하는데 주의를 기울여야 한다.

특히 국내는 IT 관련 업체들이 많은 반면 사내 보안이 철저하지 않은 경우가 많아 중국 해커들의 먹잇감이 되곤한다. 

관련 전문가들은 "악성코드에 디지털 인증서가 악용되고 있는 사례를 발견한 후 해당 업체에서 디지털 인증을 교체하려고 해도 교체 작업은 불편할 뿐더러 종종 비용도 발생한다. 또 회사의 평판을 떨어뜨릴 수도 있다"라고 경고한다. 

최 팀장은 "디지털 인증서 탈취를 막기 위해서는 사내보안을 철저히 하는 수밖에 없다"며 "해커들이 개발자 PC를 바로 노릴 수도 있으나 대부분 보안에 덜 민감한 인사, 총무, 사무직 등의 PC를 악성코드 등으로 감염시켜 내부 PC를 통해 개발자 PC에 도달, 서명을 탈취할 수 있다"고 말했다. 

이같은 디지털 인증서 탈취를 방어하기 위해서는 사내 보안을 철저히 해야한다. 

이처럼 관련 전문가들은 "최신 MS, 어도비, 자바 등 SW 패치 적용 및 최신 백신 적용 등 철저한 보안 정책을 수립해 직원들에게 보안 수칙을 따르게 하는 한편 개발자 PC의 보안을 더욱 강화해 디지털 인증서가 무단으로 악용되는 사례를 미연에 방지해야한다"고 경고했다.