[뉴스토마토 정해훈기자] 북한에서 활동하는 것으로 추정되는 해킹조직이 위조된 코드서명(code signing)으로 국내 기관에 악성 프로그램을 유포한 사실이 검찰에 적발됐다.
개인정보범죄 정부합동수사단(단장 손영배 부장검사)은 금융정보보안업체 A사의 해킹 사건을 수사한 결과 북한 해킹조직이 위조된 코드서명이 탑재된 악성 프로그램을 10개 기관 PC에 유포한 사실을 확인했다고 31일 밝혔다.
검찰에 따르면 지난해 11월 A사의 전산서버가 해킹돼 내부 자료를 탈취할 수 있도록 악성 프로그램이 설치됐고, 이후 올해 1월까지 이 서버에 접속한 직원 PC에 악성 프로그램이 전파돼 해당 PC에 저장된 A사의 전자인증서가 유출됐다.
지난 2월 A사 전자인증서를 이용한 코드서명이 탑재돼 정상 프로그램으로 가장한 악성 프로그램이 B학술단체 홈페이지 운영서버에 설치됐으며, 그달 11일 B학술단체 홈페이지 운영서버에 접속한 10개 기관의 PC 19대에 악성 프로그램이 유포됐다.
A사 서버가 악성 프로그램에 최초로 감염된 지난해 11월30일부터 올해 1월28일까지 북한 소재 IP가 총 26회에 걸쳐 해당 서버에 접속했고, 1월28일 하루 동안 이 악성 프로그램의 명령·제어서버에 북한 IP가 6회 접속한 것으로 조사됐다.
이와 함께 해킹된 A사 직원의 PC에서 유출되는 정보가 전달되도록 미리 지정된 이메일 계정에서 북한 선전·선동매체 '우리민족끼리' 사이트 가입자에게 이메일이 발송된 것으로 드러났다.
또 A사 직원 사내 이메일로 악성 프로그램을 탑재한 '남북통일에 대함'이란 제목의 이메일도 발송됐으며, 이 악성 프로그램 명령·제어서버 도메인이 'dprk.hdskip.com'으로 북한(DPRK)과 관련된 것으로 확인됐다.
앞서 한 백신업체는 2월15일 A사 코드서명이 탑재된 악성 프로그램을 발견해 한국인터넷진흥원과 A사에 통보했고, 검찰은 사흘 후 A사에서 관련 PC와 서버 등을 제출받아 수사에 착수했다.
검찰은 수사 과정에서 PC와 서버 70여대, 악성 프로그램 유포 경로가 된 서버, 악성 프로그램이 설치된 PC를 제어한 후 명령을 내리는 C&C서버, 이메일 등 총 12테라(1테라는 종이 1억 페이지 분량) 용량의 자료를 분석했다.
이후 검찰은 국정원·한국인터넷진흥원·금융보안원 등과 협의해 위조된 코드서명을 폐기하고, 감염된 PC 네트워크 연결을 차단하거나 악성 프로그램을 삭제하는 조치를 병행했다.
코드서명은 인터넷에서 배포되는 실행파일이 정당한 제작자에 의해 제작돼 위·변조되지 않은 것을 확인하는 수단으로, 유효성을 검증해 허용되지 않은 코드서명이 탑재되면 해당 파일의 설치를 차단하거나 PC 사용자에게 경고하는 기능을 한다.
검찰 관계자는 "'정보보안업체의 코드서명이 탑재된 프로그램은 안전하다'는 공신력을 악용했다"며 "국내 주요 전산망에 대한 침입·마비 등으로 사회 혼란을 의도한 북한 해킹조직의 사이버테러로 추정된다"고 말했다.
사건 개요 설명도. 사진/개인정보범죄 정부합동수사단
정해훈 기자 ewigjung@etomato.com