멀웨어 서명에 남용된 섹티고, 인증서 수천 개 폐지시켜

지난 주 있었던 크로니클의 발표, “멀웨어 샘플 수천 개, 섹티고 서명 보유”
섹티고는 즉각 폐지 조치 취해...“적극 제보해, 안전한 인증서 만들게 도와달라”

[보안뉴스 문가용 기자] 인증 발급 기관인 섹티고(Sectigo, 코모도 CA의 후신)가 알파벳(Alphabet) 산하의 보안 업체 크로니클(Chronicle)의 최근 발표가 나온 후 100개가 넘는 디지털 인증서를 폐지했다. 크로니클은 “지난 한 해 동안 바이러스토탈(VirusTotal)에서 발견된 멀웨어 샘플 수천 개가 코모도 인증서의 서명을 가지고 있었다”는 내용의 보고서를 발표한 바 있다.

[이미지 = iclickart]

지난 주에 공개된 크로니클의 보고서에 의하면 “서명된 멀웨어 샘플 3815개 중 1775개가 코모도에서 발급한 디지털 인증서를 사용하고 있었다”고 한다. 또한 코모도가 섹티고로 이름을 바꾼 후 발급된 디지털 인증서 182개가 멀웨어를 서명하는 데 사용되었다는 사실도 추가로 드러났다. 이름을 바꾸기 전이나 후나, 멀웨어 개발자들 사이에서 사랑받아온 디지털 인증서라는 것이다.

물론 섹티고만 이런 문제의 휘말린 것은 아니다. 크로니클의 보고서에는 다른 인증서 발급 기관의 이름도 명시되어 있다. 하지만 섹티고(혹은 코모도)의 인증서가 멀웨어 서명에 있어서는 압도적인 1위를 기록하고 있었다. 2위를 기록한 곳은 소트(Thawte)였는데, 509개의 인증서가 악용되고 있었다. 3위는 261개를 기록한 베리사인(VeriSign)이었고, 시만텍(Symantec)과 디지서트(DigiCert)가 각각 100개 정도를 기록했다.

섹티고의 선임연구원인 팀 칼란(Tim Callan)은 “섹티고의 규정과 정책에 따라 멀웨어 공격에 활용된 인증서들을 전부 폐지했으며, 앞으로도 잘 알려진 멀웨어 배포자나 개발자들에게 인증서를 발급하지 않도록 하겠다”고 발표했다. 물론 섹티고가 일부러 멀웨어 배포자들에게 인증서를 발급한 적은 없다.

그 후 섹티고는 자체 조사 결과를 다시 한 번 발표했다. 크로니틀이 애초에 발표한 182개라는 숫자가 사뭇 다르다는 내용이 포함되어 있었다. “추가 조사 결과 크로니클이 찾아낸 섹티고의 인증서 중 127개만 활발하게 사용되고 있었다는 사실을 파악했으며, 전부 재빨리 폐지했습니다.”

뿐만 아니라 보고서에서 언급된 1775개의 멀웨어들에서 발견된 코모도 인증서들 중 90%가 이미 종료되었으며 이전에 폐지되었던 것이라는 내용도 덧붙였다. “1660개는 복제된 인증서로 서명이 되어 있었습니다. 70개는 이미 만료된 인증서로, 126개는 이전에 폐지된 인증서로 서명이 되어 있었고요. 25개는 저희 기록과 일치하지 않는 것이 있었습니다. 현재 이 25개의 인증서에 대한 수사는 진행 중에 있습니다.”

섹티고는 “크로니클뿐만 아니라 많은 전문 업체들이 섹티고 인증서가 남용되는 것을 발견됐을 때 적극 알렸으면 한다”고 말했다. “그래야 섹티고 인증서가 더 안전해질 수 있으니까요. 숫자가 조금 틀려도 되니까, 저희에게 곧바로 알려주시기 바랍니다. 저희가 제보를 받는 이메일은 ssl_abuse@sectigo.com이나 signedmalwarealert@sectigo.com입니다.”

3줄 요약
1. 지난 주 크로니클에서 “멀웨어 수천 개가 섹티고 인증서로 서명됐다”고 발표.
2. 이에 섹티고 측은 해당 인증서들을 전부 폐지. 조사 더 해봤더니 크로니클이 발표한 숫자가 조금 틀렸음.
3. 하지만 섹티고는 “더 안전한 인증서 만들도록 계속해서 제보해달라”고 발표함.
[국제부 문가용 기자(globoan@boannews.com)]

SK텔레콤 해킹 사태로 최근 잇슈가 되고 있는 ‘BPF도어’ 관련, 어떤 솔루션을 사용중인가요?
	안랩 V3 Net for Linux
	소만사 Server-i
	파이오링크 점검 도구
	잉카인터넷 전용 백신
	트렌드 마이크로 백신
	기타 국산(솔루션명은 댓글로)
	기타 외산(솔루션명은 댓글로)
	사용하지 않는다