코드 서명 인증서 훔쳐 악성코드 배포
7월초 한 해커단이 대만의 D-Link와 Changing Information Technology라는 회사의 코드 서명 인증서를 훔쳐 플리드(Plead) 악성코드를 유포하는 데 사용했다. 이들 회사는 이 사실을 알자마자 문제의 인증서를 무효화했다.
코드 서명 인증서는 온라인 상에서 배포되는 실행 파일이 신뢰할 수 있는 정당한 제작자가 만들었고, 위/변조되지 않았음을 증명하는 것이다. 발급기관은 프로그램 제작자가 확인되고 신뢰성이 확보돼야만 이를 발급해 준다.
그런데 코드 서명 인증서가 해커에게 탈취당하여 악성코드에 사용되면, 신뢰할 수 있는 프로그램으로 오인되어 쉽게 유포할 수 있다. 공급망 공격의 하나다.
우리가 프로그램을 설치할 때 마주치는 UAC(사용자 계정 콘트롤) 경고창에서 제작자를 확인하는데, 여기 신뢰할 수 있는 회사의 프로그램으로 표시되면 의심없이 설치할 수 있는 것이다.
2010년 이란 핵시설을 마비시킨 스턱스넷(Stuxnet) 악성코드는 RealTek과 JMicron의 인증서를 도용했다.
국내의 경우 2016년 인터넷뱅킹에 많이 사용되는 보안프로그램을 만든 이니텍의 인증서가 탈취돼 악성코드 유포에 사용된 적이 있다.
참고 자료
코드 서명 인증서는 온라인 상에서 배포되는 실행 파일이 신뢰할 수 있는 정당한 제작자가 만들었고, 위/변조되지 않았음을 증명하는 것이다. 발급기관은 프로그램 제작자가 확인되고 신뢰성이 확보돼야만 이를 발급해 준다.
그런데 코드 서명 인증서가 해커에게 탈취당하여 악성코드에 사용되면, 신뢰할 수 있는 프로그램으로 오인되어 쉽게 유포할 수 있다. 공급망 공격의 하나다.
우리가 프로그램을 설치할 때 마주치는 UAC(사용자 계정 콘트롤) 경고창에서 제작자를 확인하는데, 여기 신뢰할 수 있는 회사의 프로그램으로 표시되면 의심없이 설치할 수 있는 것이다.
2010년 이란 핵시설을 마비시킨 스턱스넷(Stuxnet) 악성코드는 RealTek과 JMicron의 인증서를 도용했다.
국내의 경우 2016년 인터넷뱅킹에 많이 사용되는 보안프로그램을 만든 이니텍의 인증서가 탈취돼 악성코드 유포에 사용된 적이 있다.
참고 자료
댓글
댓글 쓰기