| 요약 | - 공식 앱 서명 인증서 유출 관련 공격유형과 사례분석 및 대응방안 |
| 내용 | - 코드 서명 인증서 유출로 인한 악성코드 유포가 확산 - 앱은 개발자가 자가 생성한 인증서를 기반으로 서명 및 배포 > 구글 플레이스토어(Google Play Store) 등 마켓에 업로드할 때 개발자와 사용자를 구분하는 용도로 사용 > 개발자가 자신이 개발한 앱임을 증명하는 중요한 수단 > 앱 업데이트도 해당 서명을 확인해 일치할 경우에만 가능해 앱 자체를 보호하는 역할 - 앱 서명 인증서 정책은 개인 개발자의 자유로운 앱 개발 및 배포를 위해 만들어짐 > 별도의 인증기관을 두지 않고 개발자가 자체적으로 인증서를 관리 > 장점: 앱 개발과 배포의 진입장벽을 낮추고 사용자들의 폭넓은 앱 경험 가능 > 단점: 서명 인증서 유출 - 공격자가 유출된 서명 인증서를 활용해 수행한 악성 행위 유형 ① 인증서로 악성코드 탐지 회피 > 보안 솔루션의 검사에서 악성으로 탐지되는 것을 회피 ② 인증서의 공식 서비스 앱 데이터 공유 > 안드로이드 시스템에서 ‘콘텐트 프로바이더(Content Provider)’는 앱 간 데이터를 공유 > 콘텐트 프로바이더 설정을 ‘서명 공유’로 지정한 경우, 해당 인증서로 서명된 모든 앱이 콘텐츠 프로바이더에 접근 가능 > 악성 앱으로 내부 사용자 데이터를 취득하며, 실질적으로 공식 앱 공격 기법으로 활용 - 유출된 인증서를 획득해 공격자가 악성행위를 감행한 국내 사례 ① 악성 기능이 추가된 앱을 플레이스토어에 업로드 > 앱 ‘광주버스’ 은 2012년에 서비스를 시작, 2018년 개발자가 개발 및 업데이트를 중단 > 인증서 정보는 폐기하지 않음 > 공격자는 인증서, 코드, 개발자의 아이디 및 패스워드를 취득 > 앱에 악성코드를 추가해 플레이스토어에 재업로드 ※ ‘libAudio.3.0.so native’ 라이브러리 파일을 추가, ‘libMovie.so’라는 추가 라이브러리 파일을 내려받아 구글 아이디 등 개인정보를 탈취 ② NHN 인증서 유출 > 일부 안드로이드의 화이트리스트 기반 보안 솔루션은 비교적 검증이 간단한 서명 정보를 추출해 공식 마켓에 등록돼 있는 서명 정보인 경우 정상적인 앱으로 처리 > 보안 솔루션에서 악성코드로의 탐지를 회피하려는 수단으로 N사 인증서를 사용한 것으로 확인 ※ 기존 금융 관련 보이스피싱 앱인 ‘kaishi’ 악성코드로, 수신번호 조작 및 발신 번호 조작 기능을 수행하며, ‘다운로더(Downloader)’ 악성코드로도 동작 ③ 스마트폰 제조사 펌웨어(Firmware)용 인증서 유출 > 2022.11.12 구글은 Google APVI Report를 통해 플랫폼 인증서가 유출된 정황이 확인됐음을 발표 > 플랫폼 인증서(Platform Certificate)란 시스템 이미지에서 안드로이드 앱에 서명하는데 사용하는 앱 서명 인증서 > 해당 인증서로 서명된 앱은 ‘sharedUserId’를 ‘android.uid.system’으로 지정해 시스템 권한을 획득 > 시스템 권한과 ‘사용자 데이터’(user data) 영역에 접근하는 권한이 부여 > OS와 같은 접근 권한으로 동작할 수 있게 됨 ※ 구글 펌웨어 인증서로 서명됐으며, 해당 제조사 스마트폰에서만 악성 행위를 수행한다는 특징 ④ 공격자의 고의적인 화이트 인증서 생성 시도 > 2021.12.07 구글 플레이스토어에 등록된 앱의 사례로 샘플 분석을 통해 발견 > 2022.02.16까지 주기적으로 버전 코드만 변경해 업데이트 > 서명 정보는 2023.12.05부터 kaishi 악성코드를 서명할 때 사용 ※ 플레이스토어에서 주기적인 업데이트를 제공하고, 해당 인증서를 일정 기간 노출시켜 신뢰를 쌓은 후 악성코드 서명에 사용한 것으로 추정 |
| 기타 | - 안드로이드는 운영체제 및 마켓의 특성상 앱 개발과 업로드가 자유로움 > 인증 및 관리에 개입이 없어 앱의 유지보수와 보안 관리는 전적으로 개발자에 책임 - 앱 서명 인증서 유출로 인한 악성코드 확산에 대해서는 일부 개선책이 필요 ① 인증서 관리 체계에 대한 인식 제고 > 개발자가 소유 및 관리하는 인증서는 별도의 인증기관이 없음 > 앱 서명 인증서는 자체적으로 더 높은 수준으로 관리해야 하며, 이를 체계적으로 수행할 방안도 마련 필요 ② 보안 솔루션 개선 체계 마련 > 보안 솔루션이 개인과 기업 개발자의 인증서를 쉽게 신뢰하면 현존 위협의 대응에 한계 > 악성 샘플을 기능 기반으로 분류하는 기법을 복합적으로 활용해 악성 행위를 방지 |
보안뉴스
앱 서명 인증서 유출, 최근 국내외 발생사례와 대응방안 살펴보니
코드 서명 인증서 유출로 인한 악성코드 유포 행위가 꾸준히 확산되고 있다. 마이크로소프트는 지난해 말과 올해 초에 ‘악의적으로 사용되는 Microsoft 서명된 드라이버에 대한 지침’을 발표했
www.boannews.com
'보안뉴스' 카테고리의 다른 글
| 마이크로소프트 오피스 불법 복제 버전 설치한 우크라이나 기업, 침해사고 발생 (0) | 2023.04.06 |
|---|---|
| 개인정보위, 카카오톡 오픈채팅방 개인정보 유출 관련 조사 착수 외 3건 (0) | 2023.03.15 |
| 레딧 해킹 사건이 드러낸 한 사람의 중요성 (0) | 2023.02.14 |
| 한미 합동 사이버 보안 권고문 발표... 북한 랜섬웨어 공격 대응 외 2건 (0) | 2023.02.12 |
| VMware ESXi 취약점 패치 필수! 최근 랜섬웨어 유포에 악용 외 2건 (0) | 2023.02.11 |