2014.05.09

토픽브리핑 | 공인인증서 탈취 악성코드의 현황과 예방법

이대영 기자 | ITWorld
지난주 공인인증서가 1주일만에 6,947건이 탈취되는 정황이 포착됐다. 이 수치는 지난해 유출된 공인인증서의 총합인 7,633건과 비슷한 수준이다.

7,000건에 가까운 숫자는 유효한 것으로 확인된 공인인증서만 헤알린 것으로, 해당 C&C 서버에 있었던 공인인증서의 수는 1만 개가 넘는다는 것이 빛스캔 측의 후일담이다.

1주일만에 공인인증서 6,947건 탈취, 공격 방법과 이에 대한 예방 방법


단 1주일만에 지난해 탈취된 공인인증서의 수에 다다랐다는 것은 앞으로도 공인인증서와 관련한 공격행위가 빈번해지고 더욱더 큰 규모의 공인인증서 탈취 행위가 등장할 것을 시사하는 것이어서 심각성은 더해진다.

사실 공인인증서에 대한 탈취 공격은 지난해부터 각 보안업체들이 경고를 해왔던 것이다. 지난해 4월 안랩은 공인인증서 탈취 악성코드 주의보를 발령하면서 공격 방법과 예방 대책까지 자세히 설명한 바 있다.

안랩, 공인인증서 탈취 악성코드 주의보

이번 공인인증서 대거 탈취의 주된 공격 방법이 바로 안랩에서 설명했던 것과 동일한 수법이었다.

사용자가 악성코드가 포함된 웹사이트에 접속하면, 사용자의 PC에 악성코드가 자동으로 다운로드된다. 접속만 해도 악성코드가 다운로드되어 공격자가 사용자 PC에 침입할 수 있는, 드라이브 바이 다운로드라는 방식이다.

다만 사용자 PC가 IE, 자바, 플래시 등의 최신 보안 패치를 해놓은 상태라면 막을 수 있지만, 일반적으로 가정에서 사용하는 PC에서 보안 패치를 제대로 하는 경우는 그리 많지 않다는 점을 감안한다면 사태는 심각해진다.

악성코드가 일단 다운로드되면 자동으로 PC내 저장된 공인인증서를 검색해, 파일전송 프로토콜(File Transfer Protocol, FTP)를 통해 공격자에게 전달한다.
이와 함께, 감염된 PC에서 사용자가 본인 인증 등으로 공인인증서 관리 프로그램이 실행되면 자동으로 가짜 공인인증서 비밀번호 입력화면을 보여주고 비밀번호 탈취를 시도한다.

자세히 보지 않으면 알기 힘들 정도로 실제 화면과 매우 유사하게 구성돼 있지만, 가짜 공인인증서 관리 프로그램에는 입력 창과 커서가 하나씩 더 있다. 사용자가 비밀번호를 입력하면 이 비밀번호는 사용자 PC의 고유주소인 맥주소(MAC address)와 함께 미국에 위치한 서버로 전송된다.

또한 감염된 PC들은 탈취된 공인인증서와는 별도로 좀비PC로 관리하게 된다.

이번에 드러난 공인인증서 탈취 사건은 금융 정보 탈취를 위해 인증서를 탈취하고, 이후 차단에 대비해 대규모로 정보를 변경하는 관리도구들까지 이용하는 실체가 최초로 확인된 사례다.

한국인터넷진흥원(KISA)은 지난 4월 대규모 악성코드 유포 동향 분석 보고서를 공개하면서 악성코드 유포의 목적으로 공인인증서 탈취, 개인정보 유출, 추가적인 악성코드 다운로드, DDoS 공격 등을 꼽았다.

"대규모 악성코드 유포 시도, 주말에 집중 발생"...KISA 발표

이런 공인인증서 탈취를 대처하기 위한 방법은 각종 애플리케이션의 보안 패치를 항상 최신으로 하는 등 일반적인 악성코드 대책 방법과 같이 기본이다.

이와 함께 공인인증서 유출 방지 기능이 있는 보안토큰 등 안전한 저장장치에 보관, 사용하는 것이 좀더 안전한 방안이 될 수 있다.

또한 공인인증서의 악용 방지를 위해 공인인증서 비밀번호 설정 시 영문자, 숫자 이외에도 특수문자를 포함하는 등 보다 안전한 비밀번호를 이용하는 것이 중요하며, 또한 공인인증서 비밀번호를 타 비밀번호와 동일하게 사용하지 않도록 하고, 공인인증서 갱신 및 재발급 시 비밀번호를 주기적으로 바꿔주는 것이 안전하다.

서버 관리자는 홈페이지가 악성코드 유포에 악용되지 않도록 취약점을 사전에 점검하고, 서버에 웹쉘 탐지 프로그램이 설치돼 있는지 정기 점검을 수행해야 한다

공인인증서는 웹서비스나 전자상거래시 해당 사용자의 신원을 확인하는데 공인인증기관이 발행하는 전자정보를 사용하는 것으로, 실생활에서 인감 증명과 같은 역할을 한다.

공인인증서에 담겨있는 내용은 인증서 버전, 인증서 일련번호, 인증서 유효 기간, 발급기관 이름, 사용자의 전자서명 검증정보, 사용자 이름 및 신원 확인 정보, 전자서명 방식 등이 포함되어 있다.

예를 들어 인터넷뱅킹이나 인터넷쇼핑으로 결제를 할 때 비밀번호만 입력하면 자동으로 전자서명이 생성되어 공인인증서와 함께 첨부된다.

이 액티브X 기반의 공인인증서는 태생적으로 문제를 갖고 있었는데, 간단히 정리하면 다음과 같다.

- 비표준화 암호 기술 : 인터넷 익스플로러(IE)에서만 사용가능한 비 표준기술인 액티브X(Active X) 기반에서만 서비스가 제공된다. 다른 브라우저에서는 공인인증서를 사용할 수 없다. 문제는 개발업체인 마이크로소프트조차도 개발과 지원을 포기한 기술이라는 것이다.

- 접근성 : 공인인증서는 비밀번호만 알면 누구나 다 사용할 수 있다. 해당 PC나 저장매체의 일반폴더에 저장된 공인인증서를 복사할 수 있다.

- 호환성 : 윈도우 운영체제와 IE를 제외한 다른 운영체제나 브라우저에서는 사용할 수 없다.

- SSL을 따라한 사용자 본인 인증 방식으로 정부가 금융업체에게 준 일종의 면죄부다.

최근 공인인증서를 폐지하려는 움직임에 활발해지고 있는 가운데, 이번 대량 탈취 사건은 폐지론의 주장에 힘을 싣었다. 지난 10여 년동안 인터넷 도장 역할을 한 공인인증서가 역사의 뒤안길로 사라지게 할 수 있을지 귀추가 주목된다. editor@itworld.co.kr


2014.05.09

토픽브리핑 | 공인인증서 탈취 악성코드의 현황과 예방법

이대영 기자 | ITWorld
지난주 공인인증서가 1주일만에 6,947건이 탈취되는 정황이 포착됐다. 이 수치는 지난해 유출된 공인인증서의 총합인 7,633건과 비슷한 수준이다.

7,000건에 가까운 숫자는 유효한 것으로 확인된 공인인증서만 헤알린 것으로, 해당 C&C 서버에 있었던 공인인증서의 수는 1만 개가 넘는다는 것이 빛스캔 측의 후일담이다.

1주일만에 공인인증서 6,947건 탈취, 공격 방법과 이에 대한 예방 방법


단 1주일만에 지난해 탈취된 공인인증서의 수에 다다랐다는 것은 앞으로도 공인인증서와 관련한 공격행위가 빈번해지고 더욱더 큰 규모의 공인인증서 탈취 행위가 등장할 것을 시사하는 것이어서 심각성은 더해진다.

사실 공인인증서에 대한 탈취 공격은 지난해부터 각 보안업체들이 경고를 해왔던 것이다. 지난해 4월 안랩은 공인인증서 탈취 악성코드 주의보를 발령하면서 공격 방법과 예방 대책까지 자세히 설명한 바 있다.

안랩, 공인인증서 탈취 악성코드 주의보

이번 공인인증서 대거 탈취의 주된 공격 방법이 바로 안랩에서 설명했던 것과 동일한 수법이었다.

사용자가 악성코드가 포함된 웹사이트에 접속하면, 사용자의 PC에 악성코드가 자동으로 다운로드된다. 접속만 해도 악성코드가 다운로드되어 공격자가 사용자 PC에 침입할 수 있는, 드라이브 바이 다운로드라는 방식이다.

다만 사용자 PC가 IE, 자바, 플래시 등의 최신 보안 패치를 해놓은 상태라면 막을 수 있지만, 일반적으로 가정에서 사용하는 PC에서 보안 패치를 제대로 하는 경우는 그리 많지 않다는 점을 감안한다면 사태는 심각해진다.

악성코드가 일단 다운로드되면 자동으로 PC내 저장된 공인인증서를 검색해, 파일전송 프로토콜(File Transfer Protocol, FTP)를 통해 공격자에게 전달한다.
이와 함께, 감염된 PC에서 사용자가 본인 인증 등으로 공인인증서 관리 프로그램이 실행되면 자동으로 가짜 공인인증서 비밀번호 입력화면을 보여주고 비밀번호 탈취를 시도한다.

자세히 보지 않으면 알기 힘들 정도로 실제 화면과 매우 유사하게 구성돼 있지만, 가짜 공인인증서 관리 프로그램에는 입력 창과 커서가 하나씩 더 있다. 사용자가 비밀번호를 입력하면 이 비밀번호는 사용자 PC의 고유주소인 맥주소(MAC address)와 함께 미국에 위치한 서버로 전송된다.

또한 감염된 PC들은 탈취된 공인인증서와는 별도로 좀비PC로 관리하게 된다.

이번에 드러난 공인인증서 탈취 사건은 금융 정보 탈취를 위해 인증서를 탈취하고, 이후 차단에 대비해 대규모로 정보를 변경하는 관리도구들까지 이용하는 실체가 최초로 확인된 사례다.

한국인터넷진흥원(KISA)은 지난 4월 대규모 악성코드 유포 동향 분석 보고서를 공개하면서 악성코드 유포의 목적으로 공인인증서 탈취, 개인정보 유출, 추가적인 악성코드 다운로드, DDoS 공격 등을 꼽았다.

"대규모 악성코드 유포 시도, 주말에 집중 발생"...KISA 발표

이런 공인인증서 탈취를 대처하기 위한 방법은 각종 애플리케이션의 보안 패치를 항상 최신으로 하는 등 일반적인 악성코드 대책 방법과 같이 기본이다.

이와 함께 공인인증서 유출 방지 기능이 있는 보안토큰 등 안전한 저장장치에 보관, 사용하는 것이 좀더 안전한 방안이 될 수 있다.

또한 공인인증서의 악용 방지를 위해 공인인증서 비밀번호 설정 시 영문자, 숫자 이외에도 특수문자를 포함하는 등 보다 안전한 비밀번호를 이용하는 것이 중요하며, 또한 공인인증서 비밀번호를 타 비밀번호와 동일하게 사용하지 않도록 하고, 공인인증서 갱신 및 재발급 시 비밀번호를 주기적으로 바꿔주는 것이 안전하다.

서버 관리자는 홈페이지가 악성코드 유포에 악용되지 않도록 취약점을 사전에 점검하고, 서버에 웹쉘 탐지 프로그램이 설치돼 있는지 정기 점검을 수행해야 한다

공인인증서는 웹서비스나 전자상거래시 해당 사용자의 신원을 확인하는데 공인인증기관이 발행하는 전자정보를 사용하는 것으로, 실생활에서 인감 증명과 같은 역할을 한다.

공인인증서에 담겨있는 내용은 인증서 버전, 인증서 일련번호, 인증서 유효 기간, 발급기관 이름, 사용자의 전자서명 검증정보, 사용자 이름 및 신원 확인 정보, 전자서명 방식 등이 포함되어 있다.

예를 들어 인터넷뱅킹이나 인터넷쇼핑으로 결제를 할 때 비밀번호만 입력하면 자동으로 전자서명이 생성되어 공인인증서와 함께 첨부된다.

이 액티브X 기반의 공인인증서는 태생적으로 문제를 갖고 있었는데, 간단히 정리하면 다음과 같다.

- 비표준화 암호 기술 : 인터넷 익스플로러(IE)에서만 사용가능한 비 표준기술인 액티브X(Active X) 기반에서만 서비스가 제공된다. 다른 브라우저에서는 공인인증서를 사용할 수 없다. 문제는 개발업체인 마이크로소프트조차도 개발과 지원을 포기한 기술이라는 것이다.

- 접근성 : 공인인증서는 비밀번호만 알면 누구나 다 사용할 수 있다. 해당 PC나 저장매체의 일반폴더에 저장된 공인인증서를 복사할 수 있다.

- 호환성 : 윈도우 운영체제와 IE를 제외한 다른 운영체제나 브라우저에서는 사용할 수 없다.

- SSL을 따라한 사용자 본인 인증 방식으로 정부가 금융업체에게 준 일종의 면죄부다.

최근 공인인증서를 폐지하려는 움직임에 활발해지고 있는 가운데, 이번 대량 탈취 사건은 폐지론의 주장에 힘을 싣었다. 지난 10여 년동안 인터넷 도장 역할을 한 공인인증서가 역사의 뒤안길로 사라지게 할 수 있을지 귀추가 주목된다. editor@itworld.co.kr


X