알서포트, 해킹으로 코드 서명 인증서 유출
공급망 공격(supply-chain attack)
원격 지원/제어 솔류션 회사인 알서포트의 내부 PC가 해킹당해 코드 서명 인증서(code sign certificate)가 유출됐다. 알서포트가 해킹 사실을 안 건 7.18일이었는데, 8.6일에야 이 사실을 알렸다.코드 서명 인증서는 파일이 신뢰할 수 있는 제작자에 의해 만들어졌고, 이후 변조되지 않았다는 것을 증명하는 표식이다. 이것을 제3자가 탈취하면 악성코드를 정상적인 프로그램으로 위장해 배포할 수 있다. 공급망 공격의 일종이다.
알서포트에 따르면 코드 서명 인증서가 유출된 것을 안 즉시 해당 인증서를 폐기했고, 업데이트 서버가 침해되지는 않았다. 애초에는 업데이트 서버가 해킹당해 고객사에 악성코드를 유포한 것으로 보도됐지만 사실이 아니었다.
어쨌거나 사건 발생 후 20일 가까이 지나서야 알린 것은 비난받아 마땅하다. 폐기된 인증서로 서명됐더라도 파일이 실행되지 않는 것은 아니다. 잘 모르거나 부주의로 경고를 무시하고 실행할 수도 있는 것이다. 이런 위험이 있는데도 쉬쉬하고 넘어가려 한 것은 무책임한 처사이다.
Operation Red Signature
8.22일의 추가 보도(참고 자료 3)를 반영한 업데이트다. 트렌드마이크로는 이 사건을 자세히 분석했고, '붉은 서명 작전'이라고 명명했다.내용을 보면, 알서포트가 밝힌 것과는 달리 업데이트 서버가 해킹당했고, 코드 서명 인증서는 훤씬 이전에 유출된 것으로 보인다. 고객사에 악성코드가 실제로 전달됐는지는 명확하게 언급되진 않았지만, 피해가 발생한 듯한 느낌을 준다.
해커는 먼저 코드 서명 인증서를 탈취했다. 4.8일에 이 인증서로 서명된 악성코드가 몇 개 발견됐는데, 이를 통해 알서포트 해킹은 오래 전부터 진행된 것으로 추측했다.
다음으로 '9002 RAT'라는 원격제어 악성코드를 삽입한 업데이트 파일을 만들어, 훔친 인증서로 서명했다. 그리고 알서포트의 업데이트 서버를 해킹해, 해커의 서버에서 악성 업데이트 파일을 받아 고객사에 전달하도록 설정을 변경했다. 이때 엄선된 표적만을 공격하기 위해 특정 IP에서 오는 업데이트 요청들에만 악성 파일을 보내도록 했다.
9002 RAT는 다른 악성코드들을 추가로 다운로드하며, 8월이 되면 작전을 종료하도록 설정됐다.
관련 자료
참고 자료
댓글
댓글 쓰기