알서포트, 코드서명 인증서 탈취…SW개발사 인증서 보안관리 방안은

By이유지

원격지원 소프트웨어 전문기업인 알서포트의 코드서명 인증서가 탈취됐다. 공격자는 이를 악용해 알서포트 클라우드 서비스(ASP) 고객들이 사용하는 업데이트 서버 공격을 시도했다.

고객사 두 곳에서 이상 접속과 파일을 내려 받은 것으로 확인돼 조치가 이뤄진 상황이다. 이들 기업을 표적으로 삼아 공격했을 가능성도 의심된다.

알서포트는 지난 7월 내부 상시 보안점검 중 코드서명 인증서가 외부로 유출된 징후를 파악해 보안조치를 진행한 데 이어 지난 6일 기존 인증서를 폐기하고 신규 인증서로 대체했다고 공지했다.

알서포트는 사내 PC 한 대가 멀웨어에 감염돼 파일 무결성 검증을 위한 코드사이닝 인증서가 유출된 것으로 추정하고 있다.

업데이트 서버에 접속하는 고객사 두 곳에서 다른 경로로 우회(리다이렉트)돼 악성으로 추정된 파일을 내려받는 이상징후를 파악한 뒤 한국인터넷진흥원(KISA)에 신고했다. KISA와 공조해 접속 경로를 차단하는 등의 1차 보안조치를 완료했다.

알서포트는 공지에서 “고객분들이 안심하시고 당사 서비스를 이용하실 수 있도록 사전 예방 조치를 더욱 강화해 보안에 문제가 없음을 확인했다”라면서 “유출에 따른 피해는 전무한 것으로 확인되고 있으며, 멀웨어 감염 경로는 KISA를 통해 추적 중에 있다”고 설명했다.

또한 “외부 보안 전문 기업을 통해 정기 및 수시 보안 점검을 실시하고 있으며, 언제나 고객을 최우선으로 안전한 서비스가 이뤄지도록 최선을 다할 것을 약속드린다”고 밝혔다.

이번 사례는 코드서명 인증서 탈취 후 업데이트 서버를 악성코드 경유지나 유포지로 악용하려한 정황이 엿보인다.

현재 알서포트 전체 고객사는 국내외 포함 1만여개사다. 이번 인증서 탈취는 구축형 서버 운영기업에는 해당되지 않는다. 회사측은 먼저 문제가 될 수 있는 ASP 클라우드 서비스 고객사를 대상으로는 신규 인증서로 교체 완료했다고 밝혔다. 현재 구축형 서버 고객사를 대상으로도 패치를 진행하고 있다.

코드서명(Code Signing)은 배포되는 실행파일이 정당한 제작자가 만들었고 위·변조되지 않았다는 것을 증명하는 방법이다. 사용자는 기업의 코드서명 인증서로 해당 소프트웨어가 안전하고 신뢰할 수 있으며 정품임을 확인할 수 있다. 코드서명을 적용하지 않으면 운영체제로부터 ‘알 수 없는 게시자’라는 경고를 받거나 실행이 차단될 수 있다.

소프트웨어 제품의 코드서명 인증서가 탈취, 악용되면 정상 소프트웨어로 가장한 악성코드가 유포될 수 있어 위험하다. 사용자들은 정상 소프트웨어로 오해하고 의심없이 설치해 악성코드에 감염되는 피해가 발생할 수 있다.

따라서 코드서명 인증서는 철저하게 보관·관리해야 한다.

지난 2016년 금융사에서 널리 사용하는 보안 소프트웨어, 보안 솔루션이 해킹에 의해 코드서명 인증서가 유출돼 사례가 발생했다. 그 뒤에도 공공기관에서 많이 사용하는 그룹웨어 소프트웨어 제품의 코드서명이 악성코드 유포에 악용된 사고가 있었다.

당시 보안·소프트웨어 업체, 특히 개발조직의 보안관리 소홀, 개발자들의 보안인식이 미흡한 현실이 지적되기도 했다. 사고대응 체계와 절차도 마련돼 있지 않아 사고를 낸 보안업체나 피해 고객사에서 대처에 어려움을 겪기도 했다.

알서포트 역시 내부 PC가 악성코드에 감염된 것으로 파악된 만큼 내부보안관리체계가 미흡했다고 볼 수 있다.

소프트웨어 개발기업이라면 연구소 등 개발환경의 보안성을 강화하고 코드서명 인증서는 철저하게 안전하게 보관하고 관리해야 한다.

해킹에 의해 코드서명이 탈취되기도 하지만, 내부 사용자 오남용 또는 유출로 인해 악의적으로 도용되는 문제도 발생할 수 있다.

이같은 사고를 방지하기 위해서는 담당자를 지정하고 안전한 저장매체에서 관리하는 것은 필수다. 인증서 관리시스템 보안관리도 방안도 적용해야 한다. 중앙 업데이트 체계 보안관리도 실시해야 한다. 만일 공격자에 의해 인증서가 탈취된 경우 즉각 인증서 폐기절차와 새로운 인증서 배포작업을 수행해야 한다.

한국인터넷진흥원(KISA)은 보안 소프트웨어 제품의 코드서명 인증서가 잇달아 유출되자 ‘코드서명 인증서 보안 가이드’를 마련·배포했다.

KISA 코드서명 인증서 보안 가이드

가이드에 따르면, 코드서명 인증서 보안관리를 위해서는 서명 작업을 수행하는 시스템과 인증서 관리 시스템은 일반 업무 PC와 혼용해 사용하지 않아야 한다. 서명 작업을 수행하는 시스템은 망분리가 이뤄져야 하며, 타임스탬프 포트를 제외한 모든 포트를 차단해야 한다. 망을 혼용해 외부 접근이 가능할 경우 내부자원을 유출하는 악성코드 감염 등 위험이 높아질 수 있다.

서명 작업을 수행하는 시스템은 지정된 관리자 외 접근을 차단해야 한다. 인증서에는 관리자 혹은 관리자가 지정한 사람만 접근 가능해야 하고, 인증서 복사·변경·삭제 등의 작업 수행 전 관리자 승인체계를 운영해야 한다.

아울러 인증서는 별도의 안전한 매체에 저장해야 한다. 매체 접근시에는 패스워드를 요구해야 하는데, 주기적인 패스워드 변경과 변경 이력 기록도 필요하다. 서명 작업 시스템과 인증서 관리 시스템은 취약점 점검을 수행해야 한다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

이유지

씩씩하고 당당하게, 그리고 신나게!

이유지 기자 yjlee@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다