[긴급] 北 추정 해킹그룹, 보안업체 코드서명 인증서 또 악용

라이플 혹은 안다리엘로 불리는 공격조직의 특정 암호 알고리즘 포함된 코드 유포
정보보호 기업 M사의 코드 서명 인증서 발견...해킹 가능성 제기
국내 유관기관에 해당 사건 전파...긴급 대응중

[보안뉴스 원병철 기자] 국방 및 방위산업체와 ATM, 여행사 등을 공격한 것으로 잘 알려진 북한 추정 국가지원 해커조직의 새로운 공격이 30일 발견돼 관계기관이 비상에 걸렸다.

[이미지=iclickart]

라이플(Rifle) 혹은 안다리엘(Andariel)이라고 불리는 이번 공격조직이 과거 공격에 사용했던 ‘암호 알고리즘’이 그대로 사용된 코드가 특정 해외 서버에서 유포되고 있는 것이 확인됐다. 특히, 이번 공격에는 정보보호 기업 M사의 코드서명 인증서가 발견되면서 해당 기업의 보안 솔루션을 사용하는 이용자들 역시 비상이 걸렸다.

해킹그룹 라이플(안다리엘)의 이번 공격이 발견된 것은 30일 오후, 바이러스토탈에 올라온 악성코드를 이스트시큐리티 시큐리티대응센터(ESRC) 문종현 센터장이 발견한 이후부터다. 문종현 센터장은 악성코드 분석결과 그동안 추적해왔던 라이플(안다리엘)의 공격과 동일한 암호 알고리즘을 확인하고 바로 조사에 착수했다고 밝혔다.

이번에 발견된 악성코드는 과거 라이플(안다리엘)이 공격에 사용했던 코드의 암호 알고리즘과 동일했으며, 특히, 2016년 I사의 코드서명 인증서를 해킹해 악성프로그램을 유포했던 사건과 매우 유사하다. 실제로 이번 사건에서도 특정 정보보호 업체의 코드서명 인증서가 발견됐기 때문. 다만 해당 업체가 해킹을 당해서 인증서가 탈취된 것인지, 아니면 인증서를 사칭한 것인지는 아직 확인되지 않았다.

문제는 이번에 발견된 M사의 코드서명 인증서가 실제로 공격에 사용됐을 경우, M사의 보안솔루션으로 위장할 가능성이 크기 때문에 해당 업체의 보안 솔루션을 사용하는 기관이나 기업의 보안위협이 높아질 수 있다는 점이다.

라이플(안다리엘)은 2013년 방송과 금융, ISP 회사를 대상으로 한 사이버테러로 국내에 알려졌으며, 2015년 방위산업체 스피어피싱과 2016년 I사 코드서명 인증서 탈취, 2016년 국방관련 기밀탈취와 2017년 VAN사 해킹을 통한 ATM 공격 등 그간 국내 기관과 기업을 꾸준히 노려왔던 것으로 알려졌다.

문종현 센터장은 “특정 서버에서 악성코드가 아직도 유포되고 있고, 특정 보안업체의 코드 서명 인증서도 발견된 만큼 관계기관과 해당 정보보호 업체의 제품을 사용하는 기업들은 주의해야 한다”고 조언했다.

한편, 이번 사건은 관련 기관에 전파됐으며, 긴급하게 대응하고 있는 것으로 알려졌다.
[원병철 기자(boanone@boannews.com)]

SK텔레콤 해킹 사태로 최근 잇슈가 되고 있는 ‘BPF도어’ 관련, 어떤 솔루션을 사용중인가요?
	안랩 V3 Net for Linux
	소만사 Server-i
	파이오링크 점검 도구
	잉카인터넷 전용 백신
	트렌드 마이크로 백신
	기타 국산(솔루션명은 댓글로)
	기타 외산(솔루션명은 댓글로)
	사용하지 않는다