엔비디아, 코드서명 인증서까지 털려...타 대기업도 안전하지 않다

글로벌 반도체 기업 엔비디아 랜섬웨어 공격에 내부 코드서명 인증서가 사용된 것으로 밝혀졌다. 해커는 엔비디아 코드서명 인증서를 탈취해 악성코드를 정상 프로그램인 것처럼 둔갑시켰다. 엔비디아와 함께 일하는 기업 모두 해당 악성코드에 노출 됐을 가능성을 배제할 수 없다.

사이버보안전문매체 블리핑컴퓨터 등은 엔비디아 코드서명 인증서가 악성코드를 서명하는데 사용됐다고 보도했다.

엔비디아 랜섬웨어 공격이 오랜 시간 준비된 정황이다. 해커는 엔비디아 내부망에 침투해 코드서명 인증서를 먼저 탈취한 후 새로운 악성코드를 배포한 것으로 보인다. 이를 통해 엔비디아 내부 깊숙이 이동한 것으로 분석된다.

개발사는 인터넷으로 소프트웨어(SW)를 배포할 때 사용자에게 신뢰할 만한 프로그램임을 알리기 위해 코드 서명을 한다. 믿을 수 있는 기업 엔비디아가 보증하는 소프트웨어니 믿고 다운로드 받으라는 의미다.

인터넷에서 소프트웨어를 다운로드할 때 코드 서명이 없으면 '알 수 없는 게시자가 배포했다'며 '보안 경고창'이 뜬다. 이와 달리 코드 서명된 경우는 개발회사 정보를 알려줘 안심하고 다운받게 한다.

해커는 이 점을 악용한다. 유명 기업 코드서명 인증서를 탈취한 후 악성코드를 해당 인증서로 서명해 배포한다.

한국인터넷진흥원이 발행한 '코드서명 인증서 보안 가이드'에 따르면 공격자는 인증서 관리가 취약한 부분을 이용해 악성코드를 감염시키고 코드서명 인증서를 탈취한다. 코드 서명 인증서를 개발자 PC에서 관리하거나 사내 인터넷망에 인증서 PC를 두면 해커가 빼돌리기 쉽다. 코드 서명 인증서는 본래 별도의 독립된 공간에서 관리된다.

블리핑컴퓨터는 엔비디아 코드서명 인증서 2개가 공격에 이용됐다고 밝혔다. 윈도 보안프로그램은 엔비디아 코드서명으로 인증된 악성코드를 식별하지 못한다. 엔비디아가 인정한 정상적인 프로그램으로 보이기 때문이다.

엔비디아는 2월 23일 공격으로 1TB에 달하는 데이터를 유출당했다. 7만1000명 이상에 대한 직원 정보는 물론이고 하드웨어 회로도, 펌웨어, 드라이버 등 데이터가 포함됐다.

Lapsus$로 알려진 해킹그룹은 엔비디아 코드 서명 인증서를 백도어와 원격접속트로이목마로 쓰이는 코발트 스트라이크 비콘스(Cobalt Strike beacons), 미미카제(Mimikatz) 등에 활용했다. 해킹 그룹은 빼돌린 인증서로 악성코드를 엔비디아에서 배포함 프로그램처럼 착각하게 만들었다.

한 보안 전문가는 “기업 코드 서명 인증서는 주로 핵심 개발자가 관리한다”면서 “개발사 핵심 역량이 해커에 노출된 것”이라고 설명했다. 이어 “ 알려지기 전 오랜 시간에 걸쳐 공격했을 가능성이 높아 전수조사가 시급하다”고 말했다.