국내 기업 코드서명 인증서를 탈취해 정부기관을 노린 조직의 정체가 드러났다. 중국 IP를 사용하는 이른바 `석플라이`다.
시만텍코리아(대표 박희범)는 코드서명 인증서를 탈취하는 석플라이(Suckfly) 지능형지속위협(APT) 공격 조직을 발견했다고 22일 밝혔다. 해당 조직은 서울 소재의 기업 코드서명 인증서를 훔쳐 다수 정부 기관과 기업을 표적 공격했다.
시만텍에 따르면 석플라이는 탈취한 다수 인증서, 해킹 도구, 맞춤형 악성코드로 대규모 표적 공격을 진행하고 있다. 조직은 2년간 세계 정부 기관과 기업을 대상으로 표적 공격을 시작하기 전에 코드서명 인증서를 확보했다.
관련기사[본지 2월 19일자 1면]
코드서명(code-signing)이란 온라인에서 배포되는 실행 파일이 정당한 제작자가 제작했고 위·변조되지 않았음을 확인하는 방법이다. 기업은 코드서명 인증서로 자사 소프트웨어(SW)와 파일 보안, 정품 인증을 강화한다.
시만텍은 지난해 말 디지털로 서명된 해킹 도구를 처음 탐지했다. 그때 사용된 인증서가 한국 소재 모바일SW 개발업체와 연관됐다. 이 회사 인증서로 서명된 다른 파일을 조사한 결과 동일 인증서로 서명한 해킹 도구 3개가 추가로 발견됐다. 인도에 있는 미국 의료 서비스 제공업체를 겨냥한 활동에 사용됐다.
시만텍은 후속 조사로 악성 트래픽 진원지를 추적, 동일한 인프라를 사용했다는 증거를 확보했다. 공격 활동은 3개의 각기 다른 IP 주소에서 발생했다. 소재지는 모두 중국 청두였다.
시만텍은 훔친 인증서 9개를 사용해 서명한 해킹도구와 악성코드를 확인했다. 이들 탈취 인증서의 출처는 서울에 위치한 9개 회사였다. 인증서 탈취 과정은 자세히 알 수 없지만 기업 내부에서 인증서를 찾아 빼낼 수 있는 악성코드에 감염됐을 가능성이 크다.
탈취한 인증서 소유 기업은 SW·비디오 게임 개발, 엔터테인먼트, 미디어, 금융 서비스 4개 산업 군이다.
윤광택 시만텍코리아 제품기술본부 상무는 “공격자는 탈취한 인증서를 악성코드 코드 서명에 쓴다”면서 “기업의 각별한 주의가 필요하다”고 말했다.
김인순 보안 전문기자 insoon@etnews.com
