개인정보범죄 정부합동수사단(단장 손영배 부장검사)은 북한 해킹 조직이 국내 금융정보 보안업체 I사의 전자인증서를 탈취해 ‘코드서명’을 위조한 후 악성 프로그램을 만들어 유포한 사실이 수사 결과 드러났다고 31일 밝혔다. 코드서명이란 컴퓨터에 프로그램을 설치하기 전에 해당 프로그램이 신뢰할 수 있다는 점을 확인하는 수단으로 정당한 제작자가 만들었고, 위·변조가 되지 않았다는 점을 증명하는 ‘디지털 도장’ 역할을 한다. 올해 2월 한 백신 업체가 I사 코드서명이 탑재된 악성 프로그램을 발견한 것을 계기로 수사에 착수한 합수단은 북한 해킹조직이 코드서명 탑재 프로그램은 안전하다는 인식을 이용해 악성 프로그램을 유포한 것으로 보고 있다.
합수단에 따르면 지난해 11월 30일부터 지난 1월 28일까지 I사의 전산 서버가 해킹돼 총 69대의 서버에 악성프로그램이 설치됐다. 해당 서버에 접속한 직원 PC가 감염되면서 저장돼 있던 전자인증서 등 내부 자료가 유출된 것. 해킹 조직은 이를 이용해 I사의 코드서명을 탑재한 악성 프로그램을 만들었다. 이후 저장된 정보를 탈취하거나 다른 악성 프로그램을 추가로 설치하는 해당 프로그램은 한 학술단체 홈페이지 운영에 서버에 설치됐고, 자료 검색 등을 위해 이 서버에 접속한 국세청, 국토교통부, 서울시청, 경기도청 등 10개 기관 PC 19대에 유포됐다. 합수단은 I사 서버가 악성 프로그램에 최초 감염된 지난해 11월 말부터 올해 1월 말 사이 북한 소재 고정 IP가 해당 서버에 26회 접속하고, I사 직원 사내 이메일로 악성 프로그램을 탑재한 ‘남북통일에 대함’이라는 제목의 이메일이 발송됐다는 점에서 북한 해킹 조직의 소행이라고 판단했다.
