[포인트 콕콕] 디지서트의 투철한 서비스 정신, 보안 구멍 되다

지난 4월 2일 미국 정보 보안 기업이자 인증 기관 디지서트(DigiCert)이 사이버 공격의 표적이 된 사례가 지난주 당사 보고서를 통해 공개됐다. 해커들은 고객인 척 가장하여 직원들에게 접근해 EV 코드 서명 인증서를 탈취했다고 한다. 공격자들은 악성 실행파일이 포함된 집 압축파일을 전송함으로써 자신들의 목적을 달성한 것으로 분석됐다.

공개된 사건 타임라인

1) 4월 2일: 공격자들이 고객을 가장하여 채팅 지원 채널로 접근. 스크린샷으로 위장된 악성 파일을 전송했고 디지서트 내부 보안 도구가 4차례 차단. 다섯 번째 시도에서 상담원이 해당 파일을 실행하며 일부 워크스테이션이 감염됨

2) 4월 3일: 디지서트 보안팀이 침해 사실을 인지했으나 상황이 통제됐다고 판단

3) 4월 4일: 또 다른 워크스테이션에서 추가 침해 발생. 이 기기의 경우 크라우드스트라이크(CrowdStrike)라는 또 다른 보안 업체의 센서 오작동으로 일부 데이터가 전송되지 않아 보안팀이 침해 사실을 인지하지 못함

4) 4월 4일~14일: 해커가 내부 지원 포털에 접근하여 인증서 주문용 ‘초기와 코드’를 탈취, 이를 이용해 총 27차례에 걸쳐 시스템에 침입하고 EV 코드 서명 인증서를 발급함

5) 4월 14일: 외부의 보안 연구원이 디지서트의 정상 서명으로 서명된 종스틸러(Zhong Stealer) 악성코드를 발견, 디지서트 측에 제보

6) 4월 15~16일: 디지서트서 내부 조사를 실시해 침해 경로와 탈취된 인증서를 파악하는 데 성공

7) 4월 17일: 식별된 60개 인증서 전체를 철회. 대기 중인 모든 주문 취소 및 관련 워크스테이션까지 격리

8) 5월 4일: 디지서트가 사건 관련 보고서를 게시

주요 피해 상황

1) 1번 엔드포인트를 감염시킨 공격자는 이를 통해 2번 엔드포인트를 감염시키고, 다시 한 번 이를 통해 내부 고객 지원 포털에 침입. 이 과정에서 옥타패스트패스(Okta FastPass)의 세션을 탈취, 추가 인증 없이 시스템으로부터 정상 직원으로 인식되는 데 성공

2) 고객 지원 포털 내에서 관리자가 볼 수 있는 인증서 발급용 초기화 코드를 탈취. 이 코드가 정상 승인된 주문 행위와 결합될 경우 누구나 인증서를 생성하고 회수할 수 있게 됨. 즉 해커들로서는 ‘무기명 크리덴셜’을 손에 쥐게된 셈

3) 이 ‘무기명 크리덴셜’을 가지고 총 27회에 걸쳐 디지서트 시스템에 접근해 최종적으로 60개의 EV 코드 서명 인증서를 부정 발급하는 데 성공. 이중 일부를 종스틸러 등 실제 악성코드를 위장하는 데 사용함

4) 크라우드스트라이크 센서의 기술적 오류로 두 번째 워크스트에시녀의 침입 데이터가 보안팀에 전혀 전달되지 않은 것을 공격자들이 의도치 않게 확인함

주요 조치 사항

1) 식별된 60개의 부정 발급 인증서를 즉시 철회

2) 인증서의 효력을 발급 시점부터 무효로 만드는 소급 철회를 적용, 해당 인증서로 서명된 악성코드가 시스템에서 즉시 차단되도록 조치

3) 사건 발생 기간(4월 2~17일) 사이에 접수된 모든 대기 중 인증서 주문을 최소하고 전면 재검토

4) 침해된 워크스테이션 2대를 네트워크에서 즉시 격리시키고 포렌식 분석 후 폐기

5) 지원 상담원이 포털에서 인증서 초기화 코드를 직접 볼 수 없도록 코드 마스킹 기능을 도입

6) 상담원과 고객 간 채팅 채널에서 실행 가능한 파일을 교환하지 못하도록 기술적으로 차단

7) 옥타 인증 정책을 강화하고 특정 기기에서만 접속이 가능하도록 기기 신뢰성 검증 절차를 보완

8) EDR 센서의 작동 여부를 실시간으로 감시하는 추가 모니터링 루틴을 도입해 이번 사건에서처럼 센서가 꺼진 채 방치되는 상황이 재발하지 않도록 함

8) 모질라 등 주요 브라우저 공급업체가 참여하는 CA 준수 트래커에 모든 조사 과정을 투명하게 공개하여 산업체 전체가 대응할 수 있도록 함

종스틸러?

1) 인포스틸러로, 개인정보 및 자산 탈취를 목적으로 설계됨

2) 주로 훔치는 것: 크리덴셜, 암호화폐 지갑 정보, 민감 정보

3) 유포 방식: 소셜엔지니어링 및 피싱, 공식 인증서 통한 위장

4) 배후 세력: 현재까지 명확히 밝혀지지 않았으나 일부 보안 기업들은 골든아이독(GoldenEyeDog)이라고 하는 중국계 APT 단체들을 의심하고 있음

5) 주요 표적: 핀테크 및 암호화폐 관련 기업이나 종사자

이 사건의 교훈

1) 업무상 예외는 보안 구멍이다: 디지서트의 보안 시스템을 악성코드를 4번이나 차단했으나 결국 담당자가 고객을 도와야 한다는 생각에 이를 무시했음. 강제 우회가 되지 않도록 하는 기술적 차단과 인적 자원 대상 교육이 병행되어야 함

2) EDR 맹신은 금지다: 두 번째 엔드포인트의 경우 보안 센서가 고장난 상태였지만, 이를 아무도 인지하거나 의심하지 않았음. 보안 솔루션이 설치돼 있다는 사실만으로 안심하는 건 매우 위험하며, 주기적인 점검이 필수

3) ‘초기화 코드’ 등 핵심 자산의 노출도는 반드시 관리해야 한다: 이번 사건에서 해커들이 인증서를 발급받을 수 있었던 건 지원 포털에서 비밀번호와 같은 초기화 코드를 평문으로 볼 수 있었기 때문임. 시스템 관리자나 상담원이라 할지라도 업무에 반드시 필요한 정보가 아니라면 접근을 제한해야 함. 즉 최소 권한의 원칙이 준수돼야 함

4) 외부 제보 및 커뮤니티와의 협력은 필수불가결이다: 디지서트는 스스로 해킹을 완벽히 막지 못했으나 외부 연구자의 제보를 즉각 수용하고 빠르게 대처함으로써 24시간 이내에 어느 정도 사건의 확산을 막을 수 있었음. 사건 발생 시 투명하게 공개하여 전문가 집단과 협력하는 것이 피해를 막는 지름길. 🆃🆃🅔

by 문가용 기자(anotherphase@thetechedge.ai)

Related Materials

• DigiCert가 공개한 공식 뉴스 아카이브로, 인증서·PKI·브랜드 신뢰를 겨냥한 사회공학 공격과 계정 탈취 이슈를 추적할 수 있는 1차 자료 - DigiCert News Archives , 2023년~2024년
• DigiCert의 공식 보안 뉴스룸으로, 인증서 위조·피싱·브랜드 사칭 등 사회공학 기반 공격과 연계된 보안 발표를 확인할 수 있는 자료 - DigiCert Newsroom , 2023년~2024년
• 사회공학·피싱·가짜 인증서·브랜딩 사칭을 포함한 공격 트렌드를 다루는 국내 사이버보안 공동 보고서 「2023년 1차 사이버보안 대연합 보고서」 - KISIA , 2023년
• 사회공학을 포함한 위협 동향과 인증·신뢰 체계의 취약성을 정리한 위협 동향 보고서 「사이버 위협 동향 보고서」 - ISAC , 2024년

[포인트 콕콕] 멀웨어와 결합하며 더 무서워진 클릭픽스

💡Editor’s Pick - 클릭픽스 확산과 진화 속도, 무시하면 큰일 - 베놈 멀웨어를 피해자가 직접 실행하도록 유도하면서 공격 속도 증가 - 앞으로도 더 진화된 클릭픽스 나올 가능성 높아 클릭픽스가 우습나? 그렇다면 오산이다. 흔한 소셜엔지니어링 기법의 변종일 뿐이라고 얕봐서는 큰코 다친다. 특히 최근 해커들은 클릭픽스 기법에 베놈 스틸러(Venom Stealer)라는 탈취형

더테크엣지(The Tech Edge)문가용 기자

[포인트 콕콕] 악성 npm 패키지 주의보

💡Editor’s Pick - 고스트 캠페인 진행 중...7개 악성 패키지 확산 - 얼마 전 발견된 고스트클로 캠페인과 여러 면에서 유사 - 지금은 개발자들이 ‘조심 또 조심’을 실천해야만 하는 때 암호화폐 지갑과 민감 정보를 훔치도록 설계된 악성 npm 패키지들이 발견됐다. 이를 제일 처음 알아차린 보안 기업 리버싱랩스(ReversingLabs)는 이것들이 하나의

더테크엣지(The Tech Edge)문가용 기자