악성코드에 탑재된 특정 보안 업체의 디지털 서명.(사진=이스트시큐리티 시큐리티대응센터)
악성코드에 탑재된 특정 보안 업체의 디지털 서명.(사진=이스트시큐리티 시큐리티대응센터)

[뉴시안=이석구 기자] 국내 보안 업체의 코드서명 인증서가 탑재된 악성코드가 유포되고 있어 PC사용자들의 각별한 주의가 요구된다.

31일 이스트시큐리티 시큐리티 대응센터(ESRC)에 따르면 지난 30일 포착된 악성코드는 감염 시 스케쥴러에 ‘Jav Maintenance64’라는 이름이 등록된다. 이어 매일 주기적으로 재실행이 이뤄지도록 설정하는 봇을 설치해 공격자가 감염 PC에 임의의 추가 악성 행위를 수행할 수 있게 된다.

현재 한국인터넷진흥원(KISA)은 해당 사안과 관련해 현장 조사를 진행 중이다.

코드서명은 자사 프로그램(보안 모듈)을 배포할 때 해당 기업이 제작·배포한 것임을 증명하기 위해 인감 도장처럼 사용하는 일종의 전자서명이다. 악성파일에 코드서명 인증서가 탑재돼 있을 경우 이용자가 정상 파일로 신뢰할 가능성이 커지는 셈이다.

ESRC 관계자는 “분석 결과 이번 공격은 2016년, 2017년 국내 공공기관·금융기관을 대상으로 APT공격을 수행했던 조직이 사용한 커스텀 암호화 알고리즘을 그대로 사용하고 있다”며 “보안업체의 정상 디지털서명을 탈취해 악용한 점까지 고려했을 때 발견된 악성코드와 악성 URL이 대규모 APT캠페인의 초기 단계를 구성하고 있는 요소였음을 추정할 수 있다”고 말했다. 

관련기사

저작권자 © 뉴시안 무단전재 및 재배포 금지