토지나 건물 등을 매매할 때 땅문서(등기필증)와 부동산 소유주의 인감증명이 필요하다. 인감증명은 관공서에 대면확인 후 신고해 받는다. 개인은 물론 기업도 법인인감으로 주요 거래 진위를 인정한다.
사이버 세상에도 법인인감처럼 쓰이는 `코드서명 인증서`가 있다. 온라인 환경에서 배포되는 실행 파일이 정당한 제작자가 만들고 위·변조되지 않았음을 확인하는 방법이다. 기업은 코드서명 인증서로 자사 소프트웨어(SW)와 파일 보안, 정품 인증을 강화한다. 한마디로 A기업이 만들고 인감도장을 찍었으니 안심하고 쓰라는 의미다.
코드서명 인증서는 아무 회사나 받을 수 없다. 제3의 인증기관은 개발 회사를 확인해 신뢰성이 확보한 곳에만 코드서명 인증서를 발급한다. 해커가 코드서명 인증서를 노리는 이유다.
해커가 악성코드를 만든 후 코드서명을 붙여 배포하면 감염자가 늘어난다. 이런 방식을 이용해 좀 더 쉽게 보안 시스템을 통과, 표적에 접근한다.
최근 코드서명 인증서를 도난당하는 사례가 늘었다. 심지어 일부 기업은 도난 사실조차 모른다. 세계 최초의 사이버무기로 알려진 스턱스넷은 대만 기업에서 훔친 인증서를 악성코드 서명에 이용했다. 2013년 3월 20일 금융과 방송사를 마비시킨 사이버테러 역시 국내 보안 기업 인증서 탈취에서 비롯됐다.
북한 4차 핵실험 이후 사이버 긴장감이 최고조다. 보안과 SW 기업 코드서명 인증서가 최근 연이어 탈취 당했다. 코드서명 인증서 탈취는 대형 사이버테러의 징후다. 우리가 탐지하지 못한 사이에 또 다른 기업의 코드서명이 탈취됐고, 악성코드 유포에 이용됐을 수도 있다.
코드서명 인증서를 어떻게 보관하는지, 기업 자산을 제대로 보호하는지 살펴볼 때다. 코드서명 인증서를 인감도장처럼 철저히 관리하고 있는가. 인감도장을 잃어 버리면 개인이나 기업 자산에 손해를 입는다. 코드서명 탈취는 개인이나 기업 손해보다 더 큰 문제를 야기한다. 한 기업의 허술한 관리가 국가 안보까지 위협하고 있다.
김인순 보안 전문기자 insoon@etnews.com
