HSM 자료실 관련자료를 다운로드 받을 실 수 있습니다.

코드서명이 해킹 되었다는 것은 무엇을 의미하는 가 ?

등록일

2016-02-23

조회수

1563

2016년 2월 22일 각종 언론 매체를 통해, 금융보안원은 국내 한 보안업체의 코드 서명이 해커들에 의해 유출된 사실을 확인했다고 발표하였다고 합니다. 발표된 기사를 종합해 보면, 한 보안 업체가 2015년 10월, 자사의 보안 모듈에 필요한 설치 프로그램를 배포 하였는 데, 그 설치프로그램에 악성코드가 발견되었다고 하는 것입니다. 즉 누군가 악의적 목적을 가지고,, 설치프로그램을 입수(또는 리버스 엔지니어링으로 동일한 기능을 수행하는 프로그램을 개발)한 후에 그 속에다가 악성 코드를 심겨 놓고, 코드 서명을 한 후에 다시 배포하였다는 것으로 해석이 됩니다. 사용자는 검증된 배포자의 코드 서명이 되었기 때문에 안심하고 그 설치 프로그램을 사용하게 됩니다. 여기서 문제의 핵심은, 설치 프로그램을 어떻게 입수 했느냐? 또는 설치프로그램 속에다가 악성코드를 어떻게 심겨놓았느냐? 가 아니고, 코드 서명을 하기 위해서 사용되는 보안업체의 Private Key를 어떻게 입수 했느냐? 라고 생각합니다. 한 언론 기사에 의하면 해당 보안업체는 Private Key를 개발자 PC에 저장해 두고 사용하고 있었다고 합니다. . 프로그램을 배포하는 회사는 배포할 때 자사의 Private Key로 코드 서명을 해서 배포하기 떄문에, 배포된 프로그램에 악성코드가 심겨져 있고, 코드 서명이 된 것이라면, 누군가 Private Key를 탈취해서 악성 코드가 심겨진 프로그램을 코드 서명해서 배포한 것으로 여겨집니다. 즉 추정을 하면, 보안업체의 Private Key가 해커들에게 유출된 것으로 여겨집니다. 이로 인한 파급효과에 대해서 설명을 하기 위해 해외 대표적 사례를 소개하면, 2010년도에 발생한 이란의 핵 원심분리기 파괴 사건으로 유명한 Stuxnet 사건이 입니다. 악성프로그램이 이란의 핵 원심 분리기를 과부하 시키도록 동작시켜 파괴한 사건인데, 악성 프로그램이 어떤 경로로 핵 원심분리기를 가동시키는 시스템에 설치되었는 지, 그 경로를 설명하면, 실헙실의 한 시스템에 사용하는 컴퓨터가 대만의 Jmicron(또는 Realtek)사가 개발한 chip을 사용하고 있는 데, Jmicron사가 chip을 구동시키는 Driver S/W를 update 하는 과정에서 초기악성 코드가 그 컴퓨터에 설치되고, 그 초기악성 코드가 다른 악성 코드를 자신의 원격 조정 서버로부터 받아서 목적하는 시스템에 설치된 것으로 이야기 합니다. 배포된 악성 코드가 심겨진 Driver S/W는 Jmicron사의 Private Key로 코드 서명이 된 것이기 때문에, 악성 코드 Auto-Detect System을 피해 나갈 수 있었다고 합니다. 즉 핵심은 대만의 Jmicron(또는 Realtek) 사가 자사의 Private Key를 탈취 당했기 때문에 발생된 것입니다. 코드 서명을 하는 데, 사용되는 Private Key를 해커에 의해 탈취되지 않도록 하는 것이 얼마나 중요한 가를 보여주고 있습니다. 국내 보안 업체가 코드 서명을 하는 Private Key를 개발자 PC에 저장해 두고 사용해 오고 있었다는 것으로 보아, 국내 보안 의식 수준을 엿 볼 수 있다고 생각합니다. 코드 서명을 하는 Private Key를 안전하게 보관하고 사용하기 위해 HSM 장비를 추천하고 있으며, 실제로 사용되어지고 있습니다. 하지만 스마트폰용 앱을 배포하는 Global No1 & No2 회사는 자사의 앱을 안전하게 배포하기 위하여 자사가 사용하는 Private Key를 보다 보안성능이 뛰어난, 즉 FIPS 140-2 Level 4 인증을 받은 Keyper/KeyperPlus 장비를 사용하고 있음을 알려 드립니다. 귀사의 업무에 참조하시기를 바랍니다. 감사합니다.