국내 대표 그룹웨어 기업 핸디소프트사 전자인증서(코드서명)가 악성코드 유포에 이용됐다. 해당 그룹웨어는 국내 공공기관 절반 이상이 사용하고 파장이 클 것으로 전망된다.

19일 H사는 자사 프로그램 배포시 사용하는 코드서명이 유출돼 한국인터넷진흥원(KISA) 등 관계기관이 대응 중이라고 밝혔다. 핸디소프트 관계자는 “현재 KISA가 관련 내용을 조사 중으로 협조하고 있다”면서 “아직 구체적인 결과가 나오지 않았다”고 말했다.

지난해 금융 보안기업 I사 코드서명이 유출돼 악성코드가 유포된 것과 같은 수법이다. 코드서명은 온라인에서 배포되는 소프트웨어(SW)가 정당한 제작자가 만들고 위변조 되지 않았음을 증명하는 수단이다.

기업은 코드서명으로 자사 SW와 파일 보안, 정품 인증을 강화한다. 한마디로 내가 만들고 인감도장을 찍었으니 안심하라는 의미다. 웹에서 SW를 다운로드 할 때 코드서명이 없으면 `알 수 없는 게시자가 배포한 것`이라는 보안 경고창이 뜬다.

지난해부터 해커는 코드서명 인증서 탈취에 열을 올렸다. 코드서명된 악성코드는 개발사에서 정상 배포한 파일로 인식된다. 공격자는 핸디소프트를 해킹해 코드서명을 빼돌린 후 악성코드 배포에 이용했다. 핸디소프트에서 코드서명외에 그룹웨어 소스코드 유출 가능성도 배제할 수 없다. 해당 코드서명은 현재 H그룹웨어에서 사용 중인 유효한 버전이다.

이 악성코드는 국내 유명 백신을 무력화한 후 명령&제어(C&C) 서버와 통신하며 내부 정보를 유출한다. 해커는 C&C를 이용해 제2, 제3의 새로운 기능을 하는 악성코드를 내려 보낼 수 있다.

현재 백신기업은 관련 보안패치를 완료했지만 핸디소프트는 악성코드 유포에 이용된 코드서명을 폐기하고 새로운 인증서를 받아 배포해야 시간이 걸린다.

SW를 개발해 배포하는 기업은 반드시 코드서명을 위한 별도 네트워크를 구성해야 한다. 코드서명 시스템은 개발이나 인터넷용 PC와 별도 분리된 네트워크에 둬야 한다.

김인순 보안 전문기자 insoon@etnews.com