DigiCert 지원 포털 해킹: 코드 서명 인증서 27개 도난

DigiCert 지원 포털 해킹: 코드 서명 인증서 27개 도난

인터넷에서 가장 신뢰받는 인증 기관 중 한 곳에서 발생한 침해 사고가 소프트웨어 공급망 보안에 대한 심각한 의문을 제기하고 있습니다. 소프트웨어와 웹사이트의 진위를 검증하는 데 사용되는 디지털 인증서의 주요 제공업체인 DigiCert는 공격자들이 소셜 엔지니어링을 이용해 기술 지원 직원 두 명을 침해하고, 백엔드 시스템에 접근하여 코드 서명 인증서 27개를 탈취했다고 확인했습니다. 이 인증서들은 DigiCert가 폐기하기 전에 악성 코드에 서명하는 데 실제로 사용되었습니다.

이번 사건은 디지털 신뢰를 유지하는 책임을 맡은 조직조차 사람을 표적으로 한 공격에 면역이 없다는 사실을 다시금 상기시켜 줍니다.

코드 서명 인증서란 무엇이며, 왜 중요한가?

소프트웨어를 다운로드할 때, 운영 체제는 해당 소프트웨어에 유효한 디지털 서명이 있는지 확인하는 경우가 많습니다. DigiCert와 같은 신뢰할 수 있는 인증 기관이 발급한 이 서명은 소프트웨어가 합법적인 출처에서 왔으며 변조되지 않았음을 확인하기 위한 것입니다. 이는 Windows부터 macOS까지 현대 운영 체제가 사용자가 신뢰할 수 있는 소프트웨어와 악의적인 위장 프로그램을 구별하는 데 도움을 주는 핵심적인 방식입니다.

공격자들이 합법적인 코드 서명 인증서를 손에 넣으면, 악성 코드를 합법성의 외투로 감쌀 수 있습니다. 보안 도구, 운영 체제 경고, 심지어 일부 기업용 엔드포인트 보호 시스템도 서명된 소프트웨어를 기본적으로 신뢰할 수 있는 것으로 처리할 수 있습니다. 서명되고 검증된 것처럼 보이는 애플리케이션을 다운로드하는 사용자는 무언가 잘못되었다는 것을 경고해 주는 시각적 신호를 더 적게 받게 됩니다.

이번 사례에서는 탈취된 인증서 27개가 DigiCert가 침해 사실을 파악하고 폐기하기 전까지 악성 코드에 서명하는 데 실제로 사용되었습니다. 폐기는 올바른 대응이지만, 즉각적인 보호를 제공하지는 않습니다. 폐기 확인이 항상 실시간으로 적용되는 것은 아니며, 일부 시스템이나 구성은 이전에 유효했던 인증서가 더 이상 신뢰할 수 없다는 사실을 즉시 인식하지 못할 수 있습니다.

공격이 발생한 경위: 헬프 데스크를 겨냥한 소셜 엔지니어링

접근 권한을 얻기 위해 사용된 방법에 주목할 필요가 있습니다. 공격자들은 패치되지 않은 소프트웨어 취약점을 악용하거나 방화벽을 무차별 대입 방식으로 뚫지 않았습니다. 그들은 사람을 표적으로 삼았습니다. 기술 지원 직원 두 명이 백엔드 시스템 접근 권한을 제공하도록 조종당했으며, 이는 소셜 엔지니어링이라고 널리 알려진 기법입니다.

헬프 데스크와 지원 직원들은 그들의 업무 특성상 도움을 주고 신속하게 대응해야 하기 때문에 이런 방식으로 자주 표적이 됩니다. 공격자들은 동료, 협력업체, 또는 긴급한 내부 요청을 사칭하여 지원 직원들이 일반적인 확인 절차를 우회하도록 압박하는 경우가 많습니다.

이번 공격은 다양한 산업의 주요 조직에서 발생한 침해 사고에서 반복적으로 나타나는 잘 확립된 패턴을 따르고 있습니다. 여기서 얻어야 할 교훈은 DigiCert가 유독 부주의했다는 것이 아닙니다. 소셜 엔지니어링은 표적의 기술적 방어가 아무리 정교하더라도 여전히 가장 효과적인 공격 벡터 중 하나로 남아 있다는 것입니다.

이것이 여러분에게 의미하는 바

보안 소프트웨어, VPN 클라이언트 또는 인터넷에서 다운로드하는 애플리케이션을 사용하는 경우, 이번 사건은 개인 보안 관행과 직접적인 관련이 있습니다.

첫째, 공식적인 1차 출처에서만 소프트웨어를 다운로드하는 것이 그 어느 때보다 중요합니다. 인증서 서명은 유용한 신호이지만, 이번 침해 사고가 보여주듯 절대 무결한 것이 아닙니다. 출처를 독립적으로 확인하지 않는 한, 제3자 앱 스토어, 미러 사이트, 소셜 미디어나 이메일을 통해 공유된 링크에서 소프트웨어를 다운로드하는 것을 피하십시오.

둘째, 운영 체제와 보안 소프트웨어를 최신 상태로 유지하면 폐기된 인증서가 기기에서 유효하지 않은 것으로 인식됩니다. 인증서 폐기 목록과 OCSP(온라인 인증서 상태 프로토콜) 업데이트는 시스템 및 브라우저 업데이트를 통해 배포됩니다. 오래된 시스템은 이미 폐기된 인증서를 계속 신뢰할 수 있습니다.

셋째, 특히 VPN이나 보안 소프트웨어 사용자라면 설치 파일이 어디서 왔는지, 그리고 공급업체가 보안 공지를 전달했는지 주기적으로 검토할 필요가 있습니다. 평판이 좋은 공급업체는 소프트웨어 배포 파이프라인에 영향을 미치는 문제를 공개합니다.

조직의 경우, 이번 사건은 모든 지원 및 관리 직원에게 다중 인증을 요구하고, 모든 접근 권한 부여 전 엄격한 확인 절차를 시행하며, 민감한 인증서 관리 시스템에 접근할 수 있는 직원을 감사하는 것의 필요성을 다시 한번 강조합니다.

실행 가능한 핵심 사항

• 공식 공급업체 웹사이트에서만 소프트웨어를 다운로드하십시오. 잘 알려진 애플리케이션이라도 제3자 다운로드 집합 사이트는 피하십시오.
• OS와 브라우저를 최신 상태로 유지하십시오. 폐기 데이터는 업데이트를 통해 전달됩니다. 오래된 시스템은 침해된 인증서를 인식하지 못할 수 있습니다.
• 공급업체 보안 공지를 확인하십시오. DigiCert가 서명한 소프트웨어를 사용하는 경우, 공급업체의 공식 보안 페이지를 방문하여 설치된 소프트웨어 중 영향을 받은 것이 있는지 확인하십시오.
• 예상치 못한 소프트웨어 업데이트에 대해 의심하십시오. 애플리케이션 업데이트를 요청하는 예상치 못한 알림을 받은 경우, 외부 링크를 클릭하는 대신 애플리케이션 자체를 통해 확인하십시오.
• 조직은 인증서 신뢰 저장소를 감사해야 합니다. 보안 팀은 자체 환경에서 신뢰되는 인증서를 검토하고 폐기 확인이 적용되고 있는지 확인해야 합니다.

영향을 받은 인증서 폐기를 포함한 DigiCert의 대응은 적절하고 예상된 조치입니다. 그러나 더 넓은 시각에서 얻어야 할 교훈은 소프트웨어 배포의 근간을 이루는 신뢰 인프라가 기술적인 요소만큼이나 인적 프로세스에도 의존한다는 것입니다. 그 신뢰가 어디서 비롯되는지, 그리고 어디서 무너질 수 있는지를 이해하는 것이 여러분 스스로를 더 잘 보호할 수 있는 위치에 서게 해 줍니다.