2014.05.08

1주일만에 공인인증서 6,947건 탈취, 공격 방법과 이에 대한 예방 방법

이대영 기자 | ITWorld
취약한 웹서비스에 접속만 해도 감염되는 악성코드에 의해 PC용 공인인증서가 단 1주일 만에 6,947건이 탈취됐다. 이 수치는 2013년 PC와 모바일을 통해 유출된 공인인증서의 총합인 7,633건에 비슷한 수준이다.

빛스캔은 지난 4월 25일부터 5월 2일까지 단 1주일동안 PC용 공인인증서가 유출된 건수가 6,947건으로, 단순 수치상으로도 최대 규모의 공인인증서 유출을 확인했다고 밝혔다.

빛스캔 측은 "일반적으로 파밍 악성코드 감염은 이메일이나 불법파일 다운로드에 의해 감염되어 발생된다고 알려져 있으나, 실제로는 웹을 통해 더 심각한 금융정보 탈취 피해가 발생되고 있다는 것을 증명한다"고 전했다.

또한 공격자들이 공인인증서를 탈취해 보관하는 곳은 미국의 호스팅 서버에 위치하고 있었으며, 감염된 좀비 PC들을 대량으로 조정하기 위한 별도의 도구들도 운영하고 있는 것을 직접 확인했다고 밝혔다.

빛스캔에 따르면, "호스트 파일의 내용을 변경해서 파밍 사이트로 연결시키는 피해가 일반적인데, 이번 사례에서 확인된 대량 관리 도구의 경우는 최대 5만 대 가량의 PC를 조정할 수 있도록 제작되어 있었다"고 분석했다.

빛스캔 측은 "이는 동시에 대규모 감염 PC에 대한 호스트 파일 변경과 PC에 대한 제어를 할 수 있도록 설정된 것이 확인된 것이며, 실제 피해와 일상적으로 발생되는 악성코드 감염이 알려진 것보다 휠씬 더 대규모 단위로 움직이고 있음을 파악할 수 있다"고 판단했다.


최대 5만 대 이상을 관리하도록 설정된 대규모 호스트 파일 변경 용도의 관리도구 화면. 출처. 빛스캔

빛스캔은 "공격자 서버의 접속로그를 통해 살펴본 결과, 미국에 있는 호스팅 서비스임에도 불구하고 한국내의 IP들이 상당 부분을 차지하고 있었다"며, "이는 공격자들이 한국 인터넷 환경만을 대상으로 한 전문적인 공격을 실행하고 있고, 또한 금융정보 탈취를 위해 전문 도구까지 제작해 활용하고 있음을 파악했다"고 말했다.

공인인증서 탈취 및 공격 순서
한국 인터넷 환경을 위협하는 공격자들은 금융 정보 탈취를 위해 인증서를 탈취하고, 이후 차단에 대비해 대규모로 정보를 변경하는 관리도구들까지 이용하는 실체가 최초로 확인된 사례로 일반적인 공격 순서는 다음과 같다.

1. 다수의 웹서비스를 통해 접속만으로도 악성코드에 감염되도록 설정
2. 모든 접속자들은 취약한 자바, IE , 플래시 버전 사용시에 즉시 감염
3. PC 내에 존재하는 공인인증서 파일을 암호 압축해 관리 서버로 전달
4. 감염된 PC들은 별도의 좀비PC 관리 프로그램으로 관리

공격자 서버에서 탈취된 대규모 금융 정보들은 확인된 인증서만 6,947건이다.

빛스캔은 "유출된 공인인증서는 모두 한국인터넷진흥원(KISA)에 전달했으며, 공인인증기관을 통해 신속히 가입자에게 유출 사실을 알리고 인증서 폐기 등의 조치를 완료한 상태이며, 금융정보를 탈취하는 해커의 서버(C&C)도 차단 조치해 추가 피해자가 발생되지 않도록 대응된 상황"이라고 밝혔다.

이와 관련해 한국인터넷진흥원은 제보받은 국내 악성코드 경유지로 악용되는 홈페이지를 탐지해 악성코드 채집 및 분석을 통해 해커의 공격서버(C&C) 정보를 확보한 후 공격서버 IP를 즉시 차단 조치했다고 밝혔다. 

또한, 공인인증서를 유출하는 악성코드가 발견되어 신속히 악성코드 유포지를 차단했으며, 유출된 공인인증서에 대해서는 공인인증기관을 통해 신속히 가입자에게 유출 사실을 안내하고 공인인증서 폐지 등의 조치를 취하도록 했다.

그러나 악성파일의 변형은 지속해서 생성되고, 매번 보안도구들의 탐지를 우회하고 있는 형태이기 때문에, 앞으로도 금융정보 탈취를 비롯한 다양한 사고들은 계속 발생할 것으로 보인다.

공격자 서버에서 발견된 공인인증서 탈취 내역. 디렉토리마다 압축파일로 존재한다. 출처. 빛스캔

빛스캔 전상훈 이사는 "현재 금융정보 탈취 유형이 한국 인터넷 사용자들을 대상으로 하는 공격자 가운데 일부에 불과하며, 단 1주일간 감염으로도 사상 최대치의 인증서를 탈취하는 것이 확인된 사안이라는 점에서, 심각성은 매우 높다"고 말했다.

이제 단순한 홍보와 계도활동을 넘어서 웹을 통한 악성코드 유포에 대해 적극적인 예방과 피해 감소를 위한 적극적인 노력이 필요한 시점이다.

빛스캔은 금융정보 탈취 유형에 대해서도 "단순히 사용자의 주의 촉구만으로는 현재 문제는 해결되기가 어려우며, 전체 환경 개선을 위해 각 서비스 제공업체들의 강력한 보안 조치 노력들이 합쳐져야만 해결될 수 있는 사안"이라고 설명했다.

이번에 발견된 금융정보 탈취형 악성코드에 대해서는 현재 보호나라에서 배포하고 있는 전용백신을 이용하거나, 일반적인 유‧무료 백신을 통해서도 치료할 수 있다.

이런 공인인증서 탈취 공격에 대응한 사용자들이 대처할 수 있는 방법은 다음과 같다.

우선 인증서를 PC나 인터넷 상에 보관하는 경우, 해킹을 통해 빼내기 쉬우므로 해커들의 표적이 되기 쉽다.

한국인터넷진흥원 전자인증팀 임진수 팀장은 "공인인증서 유출 방지 기능이 있는 보안토큰 등 안전한 저장장치에 보관, 사용하는 것이 좀더 안전한 방안이 될 수 있다"고 말했다.

보안토큰이란 공인인증서의 무단 유출을 방지하기 위해 전자 서명 생성키 등 비밀 정보를 안전하게 저장 및 보관할 수 있는 저장매체다. 기기 내부에 프로세스 및 암호 연산 장치가 있어 전자 서명 키 생성, 전자 서명 생성 및 검증 등이 가능한 하드웨어 장치로 '하드웨어 시큐리티 모듈(HSM)'이라고도 불린다.

한국인터넷진흥원 측은 공인인증서의 악용 방지를 위해 공인인증서 비밀번호 설정 시 영문자, 숫자 이외에도 특수문자를 포함하는 등 보다 안전한 비밀번호를 이용하는 것이 중요하다고 전했다.

또한 공인인증서 비밀번호를 타 비밀번호와 동일하게 사용하지 않도록 하고, 공인인증서 갱신 및 재발급 시 비밀번호를 주기적으로 바꿔주는 것이 안전하다고 말했다.

그러나 빛스캔은 "근본적으로 악성코드 감염을 예방해야 하지만, 일반 사용자 측면에서는 백신 이외에는 대책이 없는 상황"이라며, "감염을 예방하기 위해서는 자바, 플래시, IE의 업데이트를 최신으로 유지한 상태가 되어야 그나마 감염을 줄일 수 있다"고 전했다.

근본적으로는 웹을 통한 대규모 악성코드 감염을 관찰하고, 조기에 대응할 수 있도록 서비스 제공업체 및 기업, 기관들의 각별한 노력이 절실한 상황이다.

지금 이 순간에도 공격자들은 한국 인터넷 사용자들을 대상으로 금융정보 탈취 및 좀비PC 확보를 위한 악성코드를 유포하고 있다. editor@itworld.co.kr


2014.05.08

1주일만에 공인인증서 6,947건 탈취, 공격 방법과 이에 대한 예방 방법

이대영 기자 | ITWorld
취약한 웹서비스에 접속만 해도 감염되는 악성코드에 의해 PC용 공인인증서가 단 1주일 만에 6,947건이 탈취됐다. 이 수치는 2013년 PC와 모바일을 통해 유출된 공인인증서의 총합인 7,633건에 비슷한 수준이다.

빛스캔은 지난 4월 25일부터 5월 2일까지 단 1주일동안 PC용 공인인증서가 유출된 건수가 6,947건으로, 단순 수치상으로도 최대 규모의 공인인증서 유출을 확인했다고 밝혔다.

빛스캔 측은 "일반적으로 파밍 악성코드 감염은 이메일이나 불법파일 다운로드에 의해 감염되어 발생된다고 알려져 있으나, 실제로는 웹을 통해 더 심각한 금융정보 탈취 피해가 발생되고 있다는 것을 증명한다"고 전했다.

또한 공격자들이 공인인증서를 탈취해 보관하는 곳은 미국의 호스팅 서버에 위치하고 있었으며, 감염된 좀비 PC들을 대량으로 조정하기 위한 별도의 도구들도 운영하고 있는 것을 직접 확인했다고 밝혔다.

빛스캔에 따르면, "호스트 파일의 내용을 변경해서 파밍 사이트로 연결시키는 피해가 일반적인데, 이번 사례에서 확인된 대량 관리 도구의 경우는 최대 5만 대 가량의 PC를 조정할 수 있도록 제작되어 있었다"고 분석했다.

빛스캔 측은 "이는 동시에 대규모 감염 PC에 대한 호스트 파일 변경과 PC에 대한 제어를 할 수 있도록 설정된 것이 확인된 것이며, 실제 피해와 일상적으로 발생되는 악성코드 감염이 알려진 것보다 휠씬 더 대규모 단위로 움직이고 있음을 파악할 수 있다"고 판단했다.


최대 5만 대 이상을 관리하도록 설정된 대규모 호스트 파일 변경 용도의 관리도구 화면. 출처. 빛스캔

빛스캔은 "공격자 서버의 접속로그를 통해 살펴본 결과, 미국에 있는 호스팅 서비스임에도 불구하고 한국내의 IP들이 상당 부분을 차지하고 있었다"며, "이는 공격자들이 한국 인터넷 환경만을 대상으로 한 전문적인 공격을 실행하고 있고, 또한 금융정보 탈취를 위해 전문 도구까지 제작해 활용하고 있음을 파악했다"고 말했다.

공인인증서 탈취 및 공격 순서
한국 인터넷 환경을 위협하는 공격자들은 금융 정보 탈취를 위해 인증서를 탈취하고, 이후 차단에 대비해 대규모로 정보를 변경하는 관리도구들까지 이용하는 실체가 최초로 확인된 사례로 일반적인 공격 순서는 다음과 같다.

1. 다수의 웹서비스를 통해 접속만으로도 악성코드에 감염되도록 설정
2. 모든 접속자들은 취약한 자바, IE , 플래시 버전 사용시에 즉시 감염
3. PC 내에 존재하는 공인인증서 파일을 암호 압축해 관리 서버로 전달
4. 감염된 PC들은 별도의 좀비PC 관리 프로그램으로 관리

공격자 서버에서 탈취된 대규모 금융 정보들은 확인된 인증서만 6,947건이다.

빛스캔은 "유출된 공인인증서는 모두 한국인터넷진흥원(KISA)에 전달했으며, 공인인증기관을 통해 신속히 가입자에게 유출 사실을 알리고 인증서 폐기 등의 조치를 완료한 상태이며, 금융정보를 탈취하는 해커의 서버(C&C)도 차단 조치해 추가 피해자가 발생되지 않도록 대응된 상황"이라고 밝혔다.

이와 관련해 한국인터넷진흥원은 제보받은 국내 악성코드 경유지로 악용되는 홈페이지를 탐지해 악성코드 채집 및 분석을 통해 해커의 공격서버(C&C) 정보를 확보한 후 공격서버 IP를 즉시 차단 조치했다고 밝혔다. 

또한, 공인인증서를 유출하는 악성코드가 발견되어 신속히 악성코드 유포지를 차단했으며, 유출된 공인인증서에 대해서는 공인인증기관을 통해 신속히 가입자에게 유출 사실을 안내하고 공인인증서 폐지 등의 조치를 취하도록 했다.

그러나 악성파일의 변형은 지속해서 생성되고, 매번 보안도구들의 탐지를 우회하고 있는 형태이기 때문에, 앞으로도 금융정보 탈취를 비롯한 다양한 사고들은 계속 발생할 것으로 보인다.

공격자 서버에서 발견된 공인인증서 탈취 내역. 디렉토리마다 압축파일로 존재한다. 출처. 빛스캔

빛스캔 전상훈 이사는 "현재 금융정보 탈취 유형이 한국 인터넷 사용자들을 대상으로 하는 공격자 가운데 일부에 불과하며, 단 1주일간 감염으로도 사상 최대치의 인증서를 탈취하는 것이 확인된 사안이라는 점에서, 심각성은 매우 높다"고 말했다.

이제 단순한 홍보와 계도활동을 넘어서 웹을 통한 악성코드 유포에 대해 적극적인 예방과 피해 감소를 위한 적극적인 노력이 필요한 시점이다.

빛스캔은 금융정보 탈취 유형에 대해서도 "단순히 사용자의 주의 촉구만으로는 현재 문제는 해결되기가 어려우며, 전체 환경 개선을 위해 각 서비스 제공업체들의 강력한 보안 조치 노력들이 합쳐져야만 해결될 수 있는 사안"이라고 설명했다.

이번에 발견된 금융정보 탈취형 악성코드에 대해서는 현재 보호나라에서 배포하고 있는 전용백신을 이용하거나, 일반적인 유‧무료 백신을 통해서도 치료할 수 있다.

이런 공인인증서 탈취 공격에 대응한 사용자들이 대처할 수 있는 방법은 다음과 같다.

우선 인증서를 PC나 인터넷 상에 보관하는 경우, 해킹을 통해 빼내기 쉬우므로 해커들의 표적이 되기 쉽다.

한국인터넷진흥원 전자인증팀 임진수 팀장은 "공인인증서 유출 방지 기능이 있는 보안토큰 등 안전한 저장장치에 보관, 사용하는 것이 좀더 안전한 방안이 될 수 있다"고 말했다.

보안토큰이란 공인인증서의 무단 유출을 방지하기 위해 전자 서명 생성키 등 비밀 정보를 안전하게 저장 및 보관할 수 있는 저장매체다. 기기 내부에 프로세스 및 암호 연산 장치가 있어 전자 서명 키 생성, 전자 서명 생성 및 검증 등이 가능한 하드웨어 장치로 '하드웨어 시큐리티 모듈(HSM)'이라고도 불린다.

한국인터넷진흥원 측은 공인인증서의 악용 방지를 위해 공인인증서 비밀번호 설정 시 영문자, 숫자 이외에도 특수문자를 포함하는 등 보다 안전한 비밀번호를 이용하는 것이 중요하다고 전했다.

또한 공인인증서 비밀번호를 타 비밀번호와 동일하게 사용하지 않도록 하고, 공인인증서 갱신 및 재발급 시 비밀번호를 주기적으로 바꿔주는 것이 안전하다고 말했다.

그러나 빛스캔은 "근본적으로 악성코드 감염을 예방해야 하지만, 일반 사용자 측면에서는 백신 이외에는 대책이 없는 상황"이라며, "감염을 예방하기 위해서는 자바, 플래시, IE의 업데이트를 최신으로 유지한 상태가 되어야 그나마 감염을 줄일 수 있다"고 전했다.

근본적으로는 웹을 통한 대규모 악성코드 감염을 관찰하고, 조기에 대응할 수 있도록 서비스 제공업체 및 기업, 기관들의 각별한 노력이 절실한 상황이다.

지금 이 순간에도 공격자들은 한국 인터넷 사용자들을 대상으로 금융정보 탈취 및 좀비PC 확보를 위한 악성코드를 유포하고 있다. editor@itworld.co.kr


X