![[이미지=아이뉴스24]](https://img-lb.inews24.com/image_gisa/202011/1549498460203_1_225612.jpg)
[아이뉴스24 최은정 기자] 연말정산 등 공공·금융 업무 시 필요한 통합보안 프로그램 '베라포트'를 악용한 악성코드 유포, 공격 사례가 나왔다.
보안기업 이셋, 한국인터넷진흥원(KISA) 등은 관련 사례 공개 및 베라포트 버전 업데이트 등을 권고한 상황이다.
일각에선 이번 사건이 지난 연말부터 이어진데다 베라포트 사용자가 많아 잠재적 위협이 크다는 점에서 KISA 등 차원의 조치 등 적극적인 대응이 필요했다는 지적도 나온다.
21일 KISA 및 보안업계는 베라포트 버전 3.8.5.0 이하 사용자의 경우 필수적으로 업데이트 할 것을 권고했다. 버전 업데이트를 완료하지 않은 사용자들은 사이버 공격자의 악성 행위에 취약할 수 있다는 이유에서다.
국내 보안기업 위즈베라가 공급하는 베라포트는 각종 보안 프로그램이 PC에 다운로드돼 있는지 확인하고 특정 업무 시 필요 프로그램을 추가 설치할 수 있도록 도와준다. 정부기관이나 인터넷 금융거래 등 웹사이트에서 널리 사용되고 있다.
최근 보안업체 이셋이 베라포트를 통해 악성코드를 유포한 '공급망 공격' 사례를 탐지·분석했다고 발표하면서 다시 관심이 쏠리고 있다. 공급망 공격은 소프트웨어를 예외 없이 설치해야 한다는 점에 착안한 공격 방식이다.
인터넷뱅킹 이용 등으로 대다수 PC에 베라포트가 깔려있다는 점에서 피해를 입었거나 위협에 노출된 대상 역시 많을 수 있는 것. 해커 조직들이 마음만 먹으면 전국민을 대상으로 악성코드를 감염시킬 수 있다는 게 전문가 판단이다.
최상명 NSHC 수석연구원은 "지난해 말부터 북한 관련 연구원·대북 관계자 등 특정 타깃을 대상으로 발생했던 사건"이라면서 "전국민 대부분이 PC에 베라포트를 갖고 있다는 점에서 악성코드에 감염될 가능성이 있는 상황"이라고 우려했다.
민·관 차원의 대응 등 조치가 필요하다는 지적도 나온다.
이에 대해 이동근 KISA 침해사고분석단 사고분석팀 단장은 "올해 중순 께 베라포트 보안 취약점이 문제가 된다는 것을 인지, 약 2개월에 걸쳐 조치를 취했다"며 "현재는 대부분 웹사이트에 보안 패치를 완료한 상태"라고 강조했다.
이어 "기업 보안 취약점이 조치가 이뤄지지 않은 상태에서 공개될 경우 다른 범죄에 악용될 수 있다는 점을 감안했다"며 공개 시점이 늦춰진 배경을 설명했다.
◆코드서명 인증서 유출?…이셋, 공격 배후엔 '라자루스'
이셋 연구팀은 이번 공격 배후를 해커 조직 '라자루스'로 추정했다. 북한 정부의 지원을 받는 것으로 알려진 이 집단은 지난해 미국 재무부가 북한 추정 해커 '블루노로프', '안다리엘'와 함께 특별 제재 대상으로 규정하기도 했다.
이셋은 해커가 유출된 베라포트의 코드서명 인증서를 도용한 것으로 주장했다. 코드사인 인증서는 '디지털 인감도장' 역할을 하는 것으로, 개발사가 프로그램 배포 전 스스로 제작·배포한 것임을 증명해준다. 이를 통해 해커가 원격관리도구(RAT) 악성코드 샘플을 합법적인 SW로 위장해 유포했다는 게 설명이다.
반면 베라포트 측은 코드서명 인증서가 사내에서 외부에 노출됐을 가능성을 부인했다.
백효성 대표는 "국가정보원 조사 결과, 당사에서 해당 인증서가 유출된 정황이 없는 것으로 나왔다"며 "정확한 유출 경로는 확인하기 어렵다"고 말했다.
이어 "KISA, 금융보안원 측과 논의해 베라포트를 활용 중인 웹사이트에 보안 패치를 모두 적용했다"고 말했다.
한편, KISA는 홈페이지를 통해 베라포트 제품이 버전 3.8.5.0 이하인 경우 삭제하고 추후 금융거래 관련 사이트 혹은 베라포트 사용 기업 사이트에 접속해 최신 버전 설치를 권고했다.
최은정 기자 ejc@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기