해외 IT 전문 매체 Ars테크니카는 사이버 보안 전문 기업 맨디언트(Mandiant)가 마이크로소프트의 디지털 인증서를 멀웨어 서명에 악용된 사례를 발견한 소식을 보도했다.
마이크로소프트는 월간 정기 보안 업데이트 기간인 패치 화요일(Patch Tuesday)을 통해 윈도 운영체제에서의 악성 파일 실행을 막기 위한 디지털 인증서로 악성코드에 서명하도록 허용한 결함이 발견된 사실을 공지했다.
대다수 드라이버는 운영체제의 가장 민감한 부분이 있는 윈도의 핵심 커널에 직접 접근할 수 있어, 마이크로소프트는 증명이라는 내부 절차를 이용해 디지털 서명을 요구한다. 디지털 서명이 없으면, 윈도에서 드라이버를 실행할 수 없다. 또한, 증명은 사실상 타사 보안 제품의 드라이버 신뢰 여부를 결정하는 수단이 되었다.
마이크로소프트는 ‘마이크로소프트 윈도 하드웨어 호환성 프로그램(Microsoft Windows Hardware Compatibility Program)’이라는 별도의 드라이버 검증 과정을 거친다. 이때, 드라이버는 호환성을 보장할 다양한 추가 테스트를 실행한다.
마이크로소프트가 서명한 드라이버를 얻으려면 하드웨어 개발자가 먼저 확장된 유효성 검사 인증서를 받아야 한다. 인증서는 개발자가 신뢰할 수 있는 윈도 인증 기관에 신원을 증명하고 추가 보안 보증을 제공해야 한다.
그 후 개발자는 확장된 유효성 검사 인증서를 윈도 하드웨어 개발자 프로그램(Windows Hardware Developer Program) 계정에 첨부하고, 테스트를 위해 마이크로소프트에 드라이버 패키지를 제출해야 한다.
그러나 맨디언트 연구팀은 윈도 하드웨어 호환성 프로그램을 통해 서로 다른 위협 행위자와 관련된 여러 개의 서로 다른 악성 프로그램 제품군에 서명한 사례를 발견했다. 연구팀은 마이크로소프트 디지털 인증서를 악용하여 악성 프로그램에 서명한 해커 조직 최소 9곳을 발견했다. 모두 마이크로소프트 인증서 접근은 물론이고, 외부 인증기관을 통해 확장된 유효성 검사 인증서를 손에 넣었다.
맨디언트 측은 “확장된 유효성 검사 인증서는 초기에 디지서트(Digicert)와 글로벌사인(Globalsign)에서 얻고, 중국 고객사에 발행했다. 디지서트가 발행한 확장된 유효성 검사 인증서 중 최소 1개는 12월 13일(현지 시각)까지 유효한 것으로 확인됐다”라고 전했다.
해커 세력은 마이크로소프트의 디지털 인증서로 서명한 드라이버를 공격 후 활동에 이용했다. 즉, 이미 피해자 기기의 관리자 권한을 탈취했다는 의미이다. 그리고 드라이버를 이용해 다양한 최종 보안 제품 공급사가 사용하는 과정이나 서비스를 종료한 것으로 관측됐다.
맨디언트 이외에 이번 문제를 발견한 또 다른 보안 기업 소포스(Sophos)는 서명된 드라이버와 관련된 목록을 복구했다. 그중에는 여러 최종 보안 및 EDR 소프트웨어 패키지에서 사용하는 프로그램 파일 이름 186개가 포함됐다.
한편, 마이크로소프트는 일부 개발자 계정에서 이를 악용할 위험성을 발견했다고 밝혔다. 또한, 디지털 인증서 악용 우려가 발견된 개발자 계정을 정지하고, 윈도 운영체제가 악성 인증서에 서명할 의도로 사용하는 인증서에 서명하지 못하도록 차단 감지 기능을 구축했다고 안내했다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
![[김대선 칼럼] 생(生)의 찬란한 동행과 사(死)의 품격 있는 갈무리](/news/data/2025/12/31/p1065594030678023_224_h.png)
