사고사례- 코드서명 인증서 탈취공격에 무방비된 서비스

CONCERT FOREST 2017 행사 중 KISA 발표 세션이 있었는데, 2016년 주요 보안/개인정보 사고사례를 다루는 내용에서 코드사인 인증서가 탈취되어 악성코드 배포에 악용된 사례가 발표되었다. 

 

좀더 내용을 알고 싶어 관련 자료를 조사했다. 

H사는 그룹웨어 서비스를 공급하고 있는 업체 중 하나이다. 

점유율도 상당한 것으로 알고 있는데, 보안상 취약점이 발생한 것으로 보인다. 

 

 

아래 사과문에 있는 것과 마찬가지로 코드사인은 기업에서 제작한 SW 프로그램 배포 시, 해당 기업에서 제작/배포한 것임을 증명하는 일종의 전자서명(디지털 도장)인데, 이 코드사인이 탈취되어 악성코드에 사용된 것이다. 물론 저 기업도 피해자라고 볼 수도 있겠지만, 일단 해킹이 되고나면 숙주가 되어버리기 때문에 더 큰 피해가 야기될 수 있다. 

 

윈도우나 맥과 같은 OS들은 프로그램 설치시 신뢰할 수 있는 제작자에게서 배포된 것인지 체크하는데, 대다수의 사용자는 신뢰하지 않는 제작자가 배포한 프로그램을 설치하지는 않는다. 해커는 이러한 부분을 우회하기 위하여 코드사인을 노린 것으로 보인다. 

 

 

 

중요한 것은 코드사인은 일종의 인감도장과 같은 역할을 하게 되고, 이 SW가 신뢰할 수 있는 제작자에게 만들어졌는지를 증명하는 신뢰관계에 있어 가장 핵심적인 것인데 이런 인감을 탈취당한 꼴이다. 

 

전반적인 내용을 종합해보면 해킹을 당한 업체의 보안 수준이 크게 높았던 것은 아닌 듯싶다. 

특히 사고의 인지가 내부가 아닌 국가사이버안전센터로부터 이루어진 것도 최종 단계에서의 크로스체킹 혹은 주기적 점검 등이 이루어지지는 않았던 것으로 보인다. 디지털데일리 기사의 보안업체 담당자는 "키 관리를 기업들이 개별적으로 하고 있는데, 제대로 관리할 수 있을 정도로 보안정책을 운영하지 못하고 있다"라고 인터뷰를 했던데, 이 말이 맞는 듯싶다. 

 

다행히 별도의 업데이트 서버에서 프로그램이 패치되는 형식이 아니라 유지보수 담당자가 직접 가서 패치하는 형식이라 배포가 많이 안되었다고는 한다. 그러나 이러한 사건이 터질 때마다 느끼는 것은 "그렇다면 아직 식별되지 않은 유사건은? 악성코드가 감염된채 이용되는 코드사인은 없는가?"라는 것이다. 

 

 

 

 

IT 서비스 제공자들의 보안수준은?

 

많은 기관과 기업, 개인들은 다양한 IT 서비스들을 이용하고 있다. 

상당수는 비용을 지불하거나, 혹은 무료로 이용하되 트래픽을 높여주어 서비스 제공자들의 수익을 창출해주고 있다. 

이런 서비스들을 통하여 데이터들은 점점 축적하게 되는데, 이런 중요한 데이터들을 지켜줄 것이라는 신뢰가 그 이면에 깔려있다.

 

그러나 IT 서비스 제공자들의 보안 수준은 어떠한가?

대개 몇 겹에 걸쳐 보안 솔루션을 구축해놓았겠지만, 사실 중요한 것은 기술적인 솔루션에 앞서서 개발하고 관리하는 사람에 대한 리스크이다. 

신입은 잘 몰라서, 시니어급 이상은 나는 괜찮아라는 자만이 있는 곳은 언제든 보안 사고가 생길 수 있다. 

 

PM이나 기획자는 여러 제약사항과 의무사항, 관련 정책 등 내외부 사항을 모두 체크하여야 하지만, 요구사항 대비 짧은 작업 시간은 이런 부분에 대한 충분히 고민할 시간을 주지 않는다. 

개발자나 QA조직은 이런 저런 테스트를 진행하면서 보안에 대한 사항들을 반드시 체크하여야 하지만 이 또한 '시간'에 쫒기게 되면 기대하기 어렵다. 특히 화이트박스 테스트 방식의 시큐어 코딩 점검 등은 녹록치 않을 것이다. 

시스템 관리자는 나름대로 네트웍단에 있는 다양한 솔루션을 운용하지만 결정적인 순간에 사고가 생기는 것 중 DDoS 등 네트웍 트래픽에 대한 공격을 제외하고는 직간접적으로 대처하기 힘들 것이다. 

 

분업화된 과정에서의 많은 작업자들이 시간이 쫒길 때, 보안은 뒷전이 될 수 밖에 없다. 

결국 '의무 적용 사항'만을 적용하는 경우가 많은데, 사실 이 의무사항이라는 것은 '최소한의 기준'인 것이지 해킹을 막을 수 있는 '최대한의 노력'은 아님에도 '의무 적용 사항'을 적용하고는 안심하는 경우가 많다. 

 

이런 현실에서는 경영자 혹은 PM이 얼마나 보안에 대한 투자를 하는지가 서비스의 안전성 여부를 판가름하는 지표가 될 것으로 생각된다. 별도의 보안 부서가 있다고 하더라도, 보안 전문 업체에 외주 점검 서비스를 받더라도 사실 중요한 것은 만드는 과정, 특히 기획-개발 단계에서 고려가 되었느냐 안되었느냐는 그 결과물의 보안 수준에 굉장히 큰 영향을 미치기 때문이다. 

 

 

그렇다면 우리는? 이라는 자의적 질문을 던지며, 이런 사항들을 모아 내부 프로젝트 팀에 전파교육을 했지만 얼마나 많은 분들이 관심을 기울여줄지?