진짜같은 가짜 ‘코드 서명’, 악성광고로 멀웨어 웹으로 유도
가장 흔한 검색 키워드 링크 SW설치 프로그램 통해 멀웨어 유포
[애플경제 이윤순 기자] 구글 크롬로더(ChromeLoader)를 악용한 해킹이 다시 기승을 떨고 있다. 이미 지난해와 2022년에도 VHD 파일을 이용한 크롬로더를 악용, 닌텐도와 스팀 게임을 이용한 악성 파일을 유포하는 등 수 백만 대의 디바이스아와 사용자들에게 피해를 입히는 등 대규모 해킹 사건을 일으킨 적이 있다.
이번에는 또 다시 이를 악용해 합법을 가장한 유령회사와 맬웨어가 가득한 웹사이트로 사용자들을 유도, 피해를 입히는 수법이 확산되고 있다. 특히 ‘코드 서명’에 필요한 인증이나 악성 광고를 통해 가짜 멜웨어 웹사이트로 피해자들을 유도하고 있다. 문제의 웹사이트는 겉으로 보면, PDF 리더나 변환기 등 합법적인 도구를 제공하는 잘 구성된 웹사이트로 보인다.
윈도우 보안정책도 수월하게 우회
그러나 최근 HP의 사이버보안 보고서(Wolf Security Report)나 보안업체 바네피(Venafi) 보고서에 따르면 유효한 ‘코드 서명’ 인증서를 악용, 윈도우 보안 정책을 우회하는 대규모 크롬로더 사이버공격이 포착되었다.
이에 따르면 문제의 크롬로더 공격(익스플로잇)을 사용하는 사이버공격 행위자는 가짜 PDF 리더 웹사이트의 인증서를 검증하기 위해 가짜 회사를 설정하기도 한다. 겉으로 봐선 전혀 문제가 없을 것 같은 코드 서명 인증서를 통해 설치 파일에 서명함으로써, 맬웨어를 감지하기 어렵게하는 것이다.
특히 가장 흔하면서도 보편적인 검색 엔진 키워드를 악용하기도 한다. 즉, PDF 변환 도구나, 가전 제품 설명서 리더 등이 대표적인 키워드 사례다. 그래서 이들 키워드를 사용자들이 클릭하도록 하고, 이와 링크된 가짜 소프트웨어 설치 프로그램를 통해 맬웨어를 전달하는 수법을 자행, 대규모 피해자를 양산하고 있다.
또 광고를 사칭한 ‘악성 광고’도 즐겨 이용한다. 즉, 이를 통해 여기 PDF 리더나 변환기와 같은 합법적인 도구를 제공하는 잘 설계된 웹사이트로 유도하는 것이다. 일단 사용자가 문제의 사이트와 접속하면, 그의 브라우저를 장악, 검색 기능을 해커가 제어하는 사이트에서 실행할 수 있게 한다. 이 경우 ‘코드 서명 인증서’를 악용해, ‘애플로커’ 등 보안 정책도 무력화하며, 사용자에게 어떤 경고 신호도 없도록 하고 있다.
HP 보고서는 특히 “‘코드 서명 인증서’는 기존 기업들로부터 훔쳤거나, 오로지 그럴듯한 ‘코드 서명 인증서’를 얻어내기 위해, 생성 AI 도구로 설정한 경우가 많다”고 했다. 이에 따르면 또한 스크립트 구조나, 각 기능에 대한 일관된 주석, 함수 이름, 변수 선택을 기반으로 생성AI를 사용했을 가능성이 매우 높은 것으로 추측된다. 이로 인해 생성AI에 의한 공격이 날로 늘어나고, 범죄자가 엔드포인트를 감염시키는 난이도를 낮출 수 있다.
생성AI접목, 크롬로더 악용 날로 증가, ‘매우 심각한 현상’
그 때문에 인증서가 위조되었음에도 붉하고, 그저 “소프트웨어가 안전하다”고 표시해줄 뿐 아떤 경보를 울리지 않은채 악성 멀웨어를 설치하고 실행할 수 있다. 일반적으로 악성 소프트웨어가 감지되면 보안장치가 설치를 차단하지만, 악성 코드가 스며든 위조 인증서는 “안전한 상태”로 표시되며, 처리된다.
보안업체 ‘베니피’(Venafi)에 따르면 특히 사이버범죄를 위해 이처럼 AI 공격 수법이 본격화되고 있다는 점에서 이러한 코드 남용은 경각심을 불러일으키고 있다. 그럴 수 밖에 없는 것이 AI를 기반으로 위조된 코드 서명 인증서는 흔히 매우 신뢰도가 높은 기계 ID로 인식되고 있어, 사이버공격 오용된다는 사실 자체가 매우 심각한 것이다.
“도난당하거나 범죄자가 위조하는 등의 수법으로 이를 악용하며, 신뢰할 수 있는 이름으로 맬웨어를 배포할 수 있으므로, 이번에 HP가 포착한 ‘크롬로더’에 의한 사이버공겨과 같은 유형의 해킹은 막아내는게 매우 어렵다”는 것이
‘코드 서명’ 위조수법은 지난 2022년 이미 엔비디아 인증서 유출 사건이나, 솔라윈즈(SolarWinds) 침해와 같은 여러 유명 사례에서 큰 피해를 안긴 바 있다. 당시 기짜 ‘코드 서명’된 맬웨어가 수백만 대의 기계에 설치되어 전 세계적으로 대규모 혼란을 일으켰다.
해커들은 그래서 코드, 컨테이너, 애플리케이션이 연결되고 실행되도록 인증하고, 권한을 부여하는 머신 ID를 표적으로 삼는다. 보안업체 베나피에 따르면 클라우드 네이티브 기술이 날로 확산되고, AI 코딩 어시스턴트와 같은 도구를 사용하는 개발자들이 급증함에 따라 ‘코드 서명’ 인증서와 같은 머신 ID를 보호해야 할 필요성이 더욱 시급한 실정이다.
그래서 “코드 서명에서부터 TLS(전송 계층 보안) 인증서에 이르기까지 비즈니스 전반을 망라하는 머신 ID에 대한 제어 시스템이 절실하다”는게 전문가들의 지적이다.