한국인터넷진흥원(KISA) ‘긴급공지’, 보안기업 코드서명 인증서 악용 악성코드

해킹그룹 라이플(안디리엘)의 새로운 공격에서 악용된 코드서명 인증서(디지털 서명)가 ‘SHA-1’으로 확인됐다. 코드서명 인증서는 국내 문서보안기업 M사의 것으로, 고객사의 피해가 없도록 최선의 노력을 다하겠다고 밝혔다.

 

2016년 발생한 ‘코드서명 해킹사건’과 유사한 방식의 공격으로, 당시 서울중앙지검 개인정보범죄 정부합동수사단은 북한 해킹조직이 정보보안업체 I사의 코드서명이 탑재된 전자인증서를 탈취·위조해 10개 국내 기관 19개 컴퓨터에 악성프로그램을 유포했다고 수사결과를 밝혔다.

 

30일 오후 한국인터넷진흥원은 해당 사항을 안내하고, M사는 문제가 된 인증서를 즉시 폐기했고, 31일에는 자사의 모든 인증서를 폐기했다고 한다. 그러나 M사의 SHA-1 인증서가 어느 제품에 사용된 것인지 알지 못하는 점에서, 평소 인증서 관리가 소홀했거나 알고 있음에도 외부에 알리지 않은 것이 문제다.

 

한편, 한국인터넷진흥원(KISA)은 이 사건의 심각성을 인지, 8월 1일 ‘정상 코드서명 인증서로 서명된 악성코드가 발견되고 있어 각 기업에 각별한 주의를 당부한다’는 제목의 보안 공지를 관련 기업에 공지했다.