국내 보안업체 빛스캔은 16일 자사가 지난 5월, 취약한 웹서비스를 통해 접속만 해도 감염되는 악성코드에 의해 단 1주일간 탈취된 PC용 공인인증서 유출 규모가 2013년 전체 유출 규모에 버금가는 대규모 유출을 확인, 관련 사항을 유관기관(KISA)으로 제공했다고 밝혔다. 이 회사는 유출된 인증서 가운데 유효한(사용이 가능한) 인증서 6947건을 해당 기업 및 개인에게 통보, 폐기 및 재발급되도록 공조했다.
이후 7월부터 9월까지 약 3회에 걸쳐 약 4만여건의 공인인증서 파일을 제공했으며 기존 폐기된 공인인증서와 중복되거나 유효기간이 만료된 인증서를 제외고도 실제 약 1만건 이상 증가한 수치로 추정된다.
빛스캔측은 "더 큰 문제는 올해 발생한 공인인증서 유출이 현재에 국한된 것이 아니다"고 강조했다. 현재에도 매주 약 6000~7000건 정도의 공인인증서가 지속적으로 수집되고 있으며, 현재의 수준이라면 연말까지 수만건 이상의 공인인증서가 추가 유출될 것으로 집계될 것으로 예상된다는 것.
이 회사 관계자는 "공격자는 사용자 방문이 많은 취약한 P2P, 게임 커뮤니티, 언론 사이트 등에 악성코드를 감염시킬 수 있는 악성 링크를 삽입해 둔다"며 "보안이 취약한 PC(성능이 보장된 백신이나 보안 패치를 충실하게 하지 않은 상태)에서 사용자가 이러한 사이트에 방문할 경우, 파밍 관련 악성코드에 감염되고 그로 인해 PC나 USB에 저장된 공인인증서 전체가 공격자가 준비해놓은 서버로 전송되게 된다"고 설명했다.
PC의 입장에서는 백신만이 유일한 보안 수단이라고 볼 수 있는데, 이 또한 공격자가 완벽하게 헛점을 간파한 상황이다.
즉, 악성파일이 출현하게 되면 백신 업체에서 관련 파일을 수집하여 분석한 이후에 패턴 업데이트를 만든 이후 사용자의 백신에서 실제 대응하기 까지는 최소 12시간 이상 소요된다. 하지만 공격자는 불과 서너시간 만에 새로운 악성코드로 교체하기 때문에 공격자는 항상 백신과 같은 보안 수단을 우회하게 되므로, 사용자의 피해가 계속될 수 밖에 없다.
따라서, 공격이 발생하는 초기 통로인 악성 링크를 조기에 탐지해 공격에 관련된 악성파일, C&C IP 등을 빨리 탐지하여 대응하는 체계를 갖춰야만 이러한 파밍 공격으로부터 사용자를 보호할 수 있다.