[단독]제2의 3·20 재현 우려…금융권 보안솔루션 공급사 디지털서명 해킹

금융권과 공공기관에 보안솔루션을 제공하는 한 보안업체의 최신 디지털서명(코드사인)이 해킹됐다. 이 회사 고객인 금융권이나 공공기관, 기업에 대규모 사이버 장애를 일으킬 수 있는 악성코드가 잠복했을 가능성이 높다. 보안 전문가들은 2013년에 금융 및 방송망을 마비시킨 3·20사이버테러와 유사한 공격이 발생할 수 있는 심각한 사안으로 보고 있다.

프로그램의 신뢰성과 안전성을 입증하는 코드사인이 해킹돼 악성코드에 유포됐다. ⓒ게티이미지뱅크
프로그램의 신뢰성과 안전성을 입증하는 코드사인이 해킹돼 악성코드에 유포됐다. ⓒ게티이미지뱅크

금융보안원(원장 허창언)은 최근 이 회사 코드사인이 해킹되고 이를 이용한 악성코드가 발견돼 금융권에 비상대응령을 내렸다. 북한 4차 핵실험 후 남북 사이버 긴장감이 최고조다. 보안 전문가는 이 기업 이외에 국내에서 많이 사용하고 있는 보안이나 소프트웨어 프로그램의 취약점 점검과 코드사인 관리 강화를 주문했다.

코드사인은 프로그램 신뢰와 안정성을 입증하는 역할이다. 특정 프로그램을 사용자 PC에 설치할 때 해당 제품이 변조되지 않고 안전하며 신뢰할 수 있다는 것을 공인된 인증기관이 입증한 디지털 서명이다.

금융 업무나 전자민원 서비스를 할 때 각종 보안 프로그램을 내려받는다. 이때 어떤 회사에서 만든 프로그램인지 알려준 후 신뢰하면 내려받으라는 문구를 보여 준다.

코드사인이 없는 프로그램이 PC나 서버에 설치되면 ‘게시자를 확인할 수 없어서 소프트웨어를 차단했습니다’란 경고창이 뜬다. 프로그램 설치 화면에 ‘알 수 없는 게시자’라는 경고가 나타난다. 악성코드 등 악의성 프로그램 설치를 막는 기능이다.

코드사인이 포함된 프로그램은 게시자가 명시된다. 해커는 이 회사 코드사인을 악성코드 배포에 이용했다. 기업의 신뢰도와 프로그램 안전성을 악용했다. 상당수 사용자는 무의식 상태에서 이 기업을 믿고 악성코드를 내려받았을 가능성이 높다. 안티바이러스 기업은 발견된 악성코드에 대응하는 패턴을 업데이트하는 등 비상 대응에 나섰다.

보안기업 자체 보안성이 도마에 올랐다. ⓒ게티이미지뱅크
보안기업 자체 보안성이 도마에 올랐다. ⓒ게티이미지뱅크

문제는 이 회사 인증서를 이용해 유포된 악성코드가 얼마나 되는지 파악하기 힘들다는 점이다. 해커가 특정 표적기관에 악성코드 공격을 성공한 후 이 회사의 인증서 활용 흔적을 지웠을 가능성이 높다. 관련 악성코드 발견 추이를 보면 대량 배포가 아니라 표적을 노린 지능형지속위협(APT)이다. 작전은 관제망에 걸리지 않게 은밀하게 수행했다.

금융보안원 관계자는 “이 회사 코드사인을 이용한 악성코드를 발견, 금융권에 공지했다”고 밝혔다. 회사 측은 “새 코드사인을 받아 교체 중”이라며 “백신이 악성코드를 탐지하니 보안솔루션을 최신 상태로 유지하라”고 당부했다.
보안 전문가는 “최악의 경우 보안프로그램이 설치된 PC 모두를 좀비로 만들 수 있는 공격이 가능하다”면서 “보안 기업 스스로 정보보호 강화와 관계 기관의 신속한 대응이 시급하다”고 지적했다.

ⓒ게티이미지뱅크
ⓒ게티이미지뱅크

김인순 보안 전문기자 insoon@etnews.com