디지서트 침해 여파 속 마이크로소프트 디펜더 오탐 발생해 혼란

요약	- MS Defender 업데이트 이후 DigiCet 루트 인증서를 악성코드로 탐지 - MS는 탐지 로직을 수정 및 보안 인텔리전스 버전 1.449.430.0 이상으로 업데이트 필요
내용	- 26.04.30 MS Defender 업데이트 이후 DigiCet 루트 인증서를 악성코드로 탐지 > 탐지명은 Trojan:Win32/Cerdigent.A!dha > 영향을 받은 시스템에서는 인증서가 레지스트리의 인증서 저장소에서 삭제됨 ※ 이번 사안은 단순 탐지 오류를 넘어 운영 환경의 신뢰 체계가 보안 제품 업데이트 하나로 흔들릴 수 있음을 보여줌 ※ 특히 루트 인증서는 웹사이트 접속, 소프트웨어 서명 검증, 기업 내부 서비스 신뢰 검증에 영향을 줄 수 있어 민감한 영역 - MS, 오탐 확인 후 탐지 로직 수정 > DigiCet 침해 관련 손상된 인증서에 대한 탐지를 추가했으나, 그 과정에서 정상 인증서에 대한 잘못된 경보가 발생 > 보안 인텔리전스 버전 1.449.430.0 이상으로 업데이트하면 되며, 해당 경보에 대해 고객이 별도 조치를 할 필요는 없음 > 최신 업데이트는 자동으로 설치되나, 관리자는 윈도우 보안의 바이러스 및 위협 방지 메뉴에서 보호 업데이트를 수동으로 확인할 수 있음 - 이번 오탐은 DigiCet 보안 사고 직후 발생했다는 점에서 더 큰 주목 > DigiCet는 지난 4월 초 고객지원 조직을 겨냥한 공격을 받음 > 공격자는 악성 압축파일을 고객 스크린샷처럼 위장해 지원 담당자에게 전달 > 이 과정에서 일부 지원 시스템이 침해됐고, 공격자는 내부 지원 포털 기능을 악용해 이미 승인됐지만 아직 전달되지 않은 확장 검증 코드서명 인증서의 초기화 코드 확보 > 공격자는 초기화 코드와 승인된 주문 정보를 이용해 일부 확장 검증 코드서명 인증서를 발급받을 수 있었음 > DigiCet는 사고와 관련해 코드서명 인증서 60개 폐기 > 이 가운데 27개는 Zhong Stealer 악성코드 캠페인과 직접 연결 > Zhong Stealer는 이름상 정보탈취형 악성코드로 분류되나, 일부 분석에서는 RAT에 가까운 것으로 평가 > 공격 흐름 ① 피싱 메일로 가짜 이미지 또는 스크린샷 전달 ② 1단계 실행파일이 미끼 이미지를 보여준 뒤 클라우드 저장소에서 2단계 악성 페이로드를 내려받는 방식 - MS Defender 오탐과 DigiCet 침해 사고는 별개의 사건 > DigiCet 침해는 일부 코드서명 인증서가 부정 발급돼 악성코드 서명에 사용된 사건 > MS Defender 오탐은 윈도우 신뢰 저장소의 정상 디지서트 루트 인증서를 악성으로 잘못 분류한 문제 > 두 사건은 시기적으로 맞물려 있으나, Defender가 탐지한 루트 인증서와 실제 악성코드 서명에 사용된 폐기 인증서는 다름 - 이번 사건은 보안 제품의 신속한 대응과 정확성 사이의 균형의 중요성을 보여줌 > 실제 인증서 악용 사고가 발생하면 보안 제품은 빠르게 탐지를 추가할 필요 > 그러나 탐지 범위가 과도하거나 검증이 부족하면 정상 인증서까지 제거할 수 있음
기타	-

 

보안뉴스

디지서트 침해 여파 속 마이크로소프트 디펜더 오탐 발생해 혼란 - 데일리시큐