악성코드로 공인인증서 유출 심각…2주간 1400건 발견

2014-09-04 09:38

아주경제 장윤정 기자 = 순천향대 SCH사이버보안연구센터(센터장 염흥열 교수)는 인터넷에서 신원을 증명하는 공인인증서가 악성코드를 통해 2주일 동안 약 1400여건이 유출됐다고 밝혔다.

이번 공인인증서 유출에 사용된 악성코드는 특정 사이트에 접속하면 사용자 몰래 감염되는 드라이브 바이 다운로드(Drive by Download) 형태로 감염됐다. 사용자PC 내에 저장된 공인인증서 폴더를 압축해 특정 서버에서 전송하며, 호스트(Host) 파일을 변조하고 인터넷 사용자를 금융 피싱(가짜)사이트로 유도해 개인 금융 정보를 빼낸다.

이 센터에서는 아래 그림과 같이 피해자 IP 주소와 유출 날짜를 기록해 공인인증서를 수집·관리하는 서버를 발견했으며, 해당 서버에는 최근 2주일 동안 약 1400여건의 공인인증서 리스트가 존재했다. 

유동현 연구원은 “공격자가 공인인증서를 수집·관리하기 위해 웹서버에 페이지를 구축했으며 페이지에서 유출된 IP와 공인인증서를 저장하는 것으로 보아 파밍 공격을 받는 피해자는 더 많은 것으로 추정된다”고 말했다.

순천향대 SCH사이버보안연구센터는 한국인터넷진흥원(KISA)에 공인인증서 탈취 악성코드와 수집 서버를 신고했으며, 계속 추적 중에 있다.

한편, 공인인증서는 인터넷 거래의 안전을 보장하기 위해 정부가 인정한 공인인증기관을 통해 발급받은 전자방식의 증명서로 인터넷 거래에서 문서의 위조와 변조, 거래 사실의 부인 방지와 신원을 증명할 수 있는 신분증 역할을 하는 것을 말한다.

인터넷에서 신원을 증명하는 공인인증서가 유출되었을 경우 사용자PC에서 추가로 수집한 금융 정보를 이용해 불법으로 계좌에서 돈을 이체하는 등의 피해를 당할 수 있다.

공인인증서가 유출되거나 금융 사이트에서 과도한 금융 정보(보안카드 번호, 공인인증서 암호 등)를 요구할 경우 한국인터넷진흥원(국번 없이 118)에 신고하고, 만약 불법으로 이체된 피해가 발생했다면 경찰청(112)이나 금융감독원(1332), 금융회사 콜센터에 신고해 지급정지 요청을 해야 한다.

순천향대 SCH사이버보안연구센터 염흥열 센터장은 “공인인증서 유출을 최소화하려면 공인인증서를 사용자PC에 저장하는 것을 삼가”하고, “보안토큰과 스마트 인증을 통해 더 안전한 관리”가 필요하다며, “만약 이동식 디스크(USB)에 저장할 경우 공인인증서를 사용할 경우에만 연결하는 등의 노력이 필요하다”고 말했다.
 

공인인증서 수집 사이트 화면 [자료 = 순천향대 SCH사이버보안연구센터]