2014.06.11

공인인증서 1,632건 추가 발견...개인 사업자와 의료 법인 인증서 포함

편집자 | ITWorld
지난 5월 총 7,000여 건의 공인인증서가 탈취된 것으로 보도된 이후, 빛스캔은 6월초, 다수의 개인 사업자와 의료기관의 법인 인증서를 포함해 1,632건이 수집된 정황을 추가로 포착했다고 밝혔다.

이번에 발견된 인증서의 종류에는 의료기관 및 병원의 인증서를 포함해 법인의 다양한 인증서들이 확인됐으며, 인증서가 유출된 법인 가운데에는 상장기업도 포함되어 있다.

또한 유효기간은 만료되긴 했지만 행정망 접속을 위한 인증서도 발견됐다.

지난 5월 초에도 취약한 웹서비스를 통해 접속만 해도 감염되는 악성코드에 의해 단 1주일간 탈취된 PC용 공인인증서 약 7,000여 건의 유출을 확인한 바가 있다. 이번 6월초에 확인된 인증서 탈취는 5월말과 6월초 두 차례에 걸쳐 국내 어학원사이트를 통해 발생된 소규모 악성코드 유포를 추적해 발견한 사안이다.

이는 금융거래 용도의 개인인증서 탈취가 대부분이나, 증권을 포함한 기업용 인증서들도 확인된 상황이다.

빛스캔은 이번 사건은 국내 인터넷상에서의, 웹을 통한 악성코드 대량 유포를 관찰하고 있는 빛스캔의 C&C서버 추적에 의해 유출 확인이 됐으며, 지난 5월 초의 첫 사례 확인 이후 두 번째 사례라고 밝혔다.

다만 지난 5월에는 개인인증서 탈취가 중심이었으나, 현재 사례에는 개인인증서와 법인, 의료기관의 인증서, 인증이 만료된 행정망 사용자의 인증서, 교육망에 접근이 가능한 인증서들이 확인됨에 따라 지난 5월의 사안보다 종류와 영향력이 더 높아진 것이라고 평가했다.

빛스캔은 "인증서가 유출된 PC의 경우, 이미 악성코드에 감염된 상태라서 추가적인 정보 유출과 키 입력 정보의 유출도 모두 가능한 상태"라며, "그만큼 추가적인 금융 자산의 유출 가능성이 매우 높다고 볼 수 있다"고 말했다.

특히 법인용 인증서의 경우에는 기업의 존망에도 직접적인 영향을 줄 수 있을 정도로 심각한 상황인데, 이번에 유출된 인증서에는 개인사업자 이외에도 상장기업의 인증서까지도 확인됨에 따라 문제의 심각성을 더해준다.

빛스캔 관계자는 "이번 사건을 통해 보안 문제가 기업의 존망에도 영향을 주는 사안임에도 불구하고, 현실에서는 기본적인 위험관리도 제대로 이뤄지지 않는 국내 현실을 적나라하게 확인할 수 있다"고 말했다.

빛스캔은 이에 대해 한국인터넷진흥원(KISA)에 신속히 전달해 대응이 완료, 현재 국내 주요 백신을 통해 치료가 가능하다고 전했다.

일반적으로 파밍 악성코드 감염은 이메일이나 불법파일 다운로드에 의해 감염되어 발생된다고 알려져 있으나, 실제로는 웹을 통해서 더 심각한 금융정보 탈취 피해가 발생되고 있다는 것을 일상적으로 발생되고 있음을 증명한다.

국내 인터넷 환경을 위협하는 공격자들은 금융 정보 탈취를 위해 인증서를 탈취하고, 이후 차단에 대비해 대규모로 정보를 변경하는 관리도구들까지 이용하는 실체가 처음 확인된 사례로서 일반적인 공격의 순서는 다음과 같다.

1. 다수의 웹서비스를 통해 접속만으로도 악성코드에 감염되도록 설정
2. 모든 접속자들은 취약한 Java , IE, Flash 버전 사용시에 즉시 감염됨
3. PC 내에 존재하는 공인인증서 파일을 압축하여 관리서버로 전달
4. 감염된 PC들은 별도의 좀비 PC 관리 프로그램으로 관리되며, 웹서핑시 금융정보를 입력하는 파밍사이트로 연결되게 한다. 정보 입력 시에는 금융 피해가 즉시 발생 될 수 있다.

빛스캔에서 확인한 공격자 서버의 모든 인증서 파일들은 추가 피해 방지를 위해, 한국인터넷진흥원(KISA)에 신속히 전달되어, 인증서 폐기가 완료됐다. 또한 감염에 이용된 악성코드들도 전달되어 국내 주요백신을 이용하여 치료가 가능한 상황이다.

그러나 매주마다 새로운 악성코드 감염은 국내 주요 사이트에서 일상적으로 발생되고 있다. 또한 악성파일의 변경은 계속되고 있어서, 앞으로도 어려움은 계속될 것으로 보인다. 지난 5월과 6월에 발견된 단 두 차례의 확인 결과는 전체 한국 인터넷이 처한 위협상황에서 보자면 빙산의 일각이라 할 수 있다.

일부분을 통해 확인된 사안으로도 충분히 현실을 알 수 있을 만큼, 한국 인터넷의 위기 상황이 계속 되고 있다. 단순히 이용자에 대한 홍보와 계도활동을 넘어서 웹을 통한 악성코드 유포에 대해 적극적인 예방과 피해 감소를 위한 적극적인 노력이 반드시 필요하다.

빛스캔 측은 금융정보 탈취 유형에 대해서도 단순히 사용자의 주의 촉구만으로는 현재 문제는 해결되기가 어려우며, 전체 환경 개선을 위해 각 서비스 제공자들의 강력한 노력들이 결합해야만 문제가 해결될 수 있을 것이라고 전했다. editor@itworld.co.kr


2014.06.11

공인인증서 1,632건 추가 발견...개인 사업자와 의료 법인 인증서 포함

편집자 | ITWorld
지난 5월 총 7,000여 건의 공인인증서가 탈취된 것으로 보도된 이후, 빛스캔은 6월초, 다수의 개인 사업자와 의료기관의 법인 인증서를 포함해 1,632건이 수집된 정황을 추가로 포착했다고 밝혔다.

이번에 발견된 인증서의 종류에는 의료기관 및 병원의 인증서를 포함해 법인의 다양한 인증서들이 확인됐으며, 인증서가 유출된 법인 가운데에는 상장기업도 포함되어 있다.

또한 유효기간은 만료되긴 했지만 행정망 접속을 위한 인증서도 발견됐다.

지난 5월 초에도 취약한 웹서비스를 통해 접속만 해도 감염되는 악성코드에 의해 단 1주일간 탈취된 PC용 공인인증서 약 7,000여 건의 유출을 확인한 바가 있다. 이번 6월초에 확인된 인증서 탈취는 5월말과 6월초 두 차례에 걸쳐 국내 어학원사이트를 통해 발생된 소규모 악성코드 유포를 추적해 발견한 사안이다.

이는 금융거래 용도의 개인인증서 탈취가 대부분이나, 증권을 포함한 기업용 인증서들도 확인된 상황이다.

빛스캔은 이번 사건은 국내 인터넷상에서의, 웹을 통한 악성코드 대량 유포를 관찰하고 있는 빛스캔의 C&C서버 추적에 의해 유출 확인이 됐으며, 지난 5월 초의 첫 사례 확인 이후 두 번째 사례라고 밝혔다.

다만 지난 5월에는 개인인증서 탈취가 중심이었으나, 현재 사례에는 개인인증서와 법인, 의료기관의 인증서, 인증이 만료된 행정망 사용자의 인증서, 교육망에 접근이 가능한 인증서들이 확인됨에 따라 지난 5월의 사안보다 종류와 영향력이 더 높아진 것이라고 평가했다.

빛스캔은 "인증서가 유출된 PC의 경우, 이미 악성코드에 감염된 상태라서 추가적인 정보 유출과 키 입력 정보의 유출도 모두 가능한 상태"라며, "그만큼 추가적인 금융 자산의 유출 가능성이 매우 높다고 볼 수 있다"고 말했다.

특히 법인용 인증서의 경우에는 기업의 존망에도 직접적인 영향을 줄 수 있을 정도로 심각한 상황인데, 이번에 유출된 인증서에는 개인사업자 이외에도 상장기업의 인증서까지도 확인됨에 따라 문제의 심각성을 더해준다.

빛스캔 관계자는 "이번 사건을 통해 보안 문제가 기업의 존망에도 영향을 주는 사안임에도 불구하고, 현실에서는 기본적인 위험관리도 제대로 이뤄지지 않는 국내 현실을 적나라하게 확인할 수 있다"고 말했다.

빛스캔은 이에 대해 한국인터넷진흥원(KISA)에 신속히 전달해 대응이 완료, 현재 국내 주요 백신을 통해 치료가 가능하다고 전했다.

일반적으로 파밍 악성코드 감염은 이메일이나 불법파일 다운로드에 의해 감염되어 발생된다고 알려져 있으나, 실제로는 웹을 통해서 더 심각한 금융정보 탈취 피해가 발생되고 있다는 것을 일상적으로 발생되고 있음을 증명한다.

국내 인터넷 환경을 위협하는 공격자들은 금융 정보 탈취를 위해 인증서를 탈취하고, 이후 차단에 대비해 대규모로 정보를 변경하는 관리도구들까지 이용하는 실체가 처음 확인된 사례로서 일반적인 공격의 순서는 다음과 같다.

1. 다수의 웹서비스를 통해 접속만으로도 악성코드에 감염되도록 설정
2. 모든 접속자들은 취약한 Java , IE, Flash 버전 사용시에 즉시 감염됨
3. PC 내에 존재하는 공인인증서 파일을 압축하여 관리서버로 전달
4. 감염된 PC들은 별도의 좀비 PC 관리 프로그램으로 관리되며, 웹서핑시 금융정보를 입력하는 파밍사이트로 연결되게 한다. 정보 입력 시에는 금융 피해가 즉시 발생 될 수 있다.

빛스캔에서 확인한 공격자 서버의 모든 인증서 파일들은 추가 피해 방지를 위해, 한국인터넷진흥원(KISA)에 신속히 전달되어, 인증서 폐기가 완료됐다. 또한 감염에 이용된 악성코드들도 전달되어 국내 주요백신을 이용하여 치료가 가능한 상황이다.

그러나 매주마다 새로운 악성코드 감염은 국내 주요 사이트에서 일상적으로 발생되고 있다. 또한 악성파일의 변경은 계속되고 있어서, 앞으로도 어려움은 계속될 것으로 보인다. 지난 5월과 6월에 발견된 단 두 차례의 확인 결과는 전체 한국 인터넷이 처한 위협상황에서 보자면 빙산의 일각이라 할 수 있다.

일부분을 통해 확인된 사안으로도 충분히 현실을 알 수 있을 만큼, 한국 인터넷의 위기 상황이 계속 되고 있다. 단순히 이용자에 대한 홍보와 계도활동을 넘어서 웹을 통한 악성코드 유포에 대해 적극적인 예방과 피해 감소를 위한 적극적인 노력이 반드시 필요하다.

빛스캔 측은 금융정보 탈취 유형에 대해서도 단순히 사용자의 주의 촉구만으로는 현재 문제는 해결되기가 어려우며, 전체 환경 개선을 위해 각 서비스 제공자들의 강력한 노력들이 결합해야만 문제가 해결될 수 있을 것이라고 전했다. editor@itworld.co.kr


X