cd ../blog
MITRE

가짜 인증서 서명: 공격자가 보안 도구를 속이는 방법 | T1036.001

읽는 시간 약 6분
조회수 11
MITRE ATT&CKT1036.001코드 서명

해커가 유효한 인증서처럼 보이게 만드는 교묘한 기법. APT37 실제 공격 사례, 탐지 우회 원리, 방어 전략까지. 지금 확인하세요.

share:
가짜 인증서 서명: 공격자가 보안 도구를 속이는 방법 | T1036.001

<!--SEO_META_START title: 가짜 인증서 서명: 공격자가 보안 도구를 속이는 방법 | T1036.001 description: 공격자가 가짜 코드 서명 인증서로 악성코드를 정상 소프트웨어로 위장하는 원리. 실제 APT 사례와 인증서 검증 우회 기법을 확인하세요. keywords: T1036.001, Invalid Code Signature, MITRE ATT&CK, 코드 서명 위조, 인증서 위장 tags: MITRE ATT&CK, T1036.001, 코드 서명 SEO_META_END-->

MITRE ATT&CK: T1036.001 (Invalid Code Signature) | 전술: Defense Evasion | 플랫폼: macOS, Windows

도입: 왜 이 공격이 중요한가

2017년 APT37이 한국 기업들을 공격할 때 사용한 악성코드를 보면 "Tencent Technology (Shenzhen) Company Limited"라는 그럴듯한 회사 이름으로 서명되어 있었습니다. 하지만 이 서명은 완전히 가짜였거든요.

공격자들은 정상적인 소프트웨어처럼 보이게 만들기 위해 가짜 디지털 서명을 악성코드에 붙입니다. 검증하면 실패하지만, 사용자나 보안 도구가 첫눈에 보기엔 합법적인 프로그램처럼 보이죠.

💡 쉬운 비유: 가짜 명품 가방에 진짜 브랜드 로고를 붙이는 것과 같습니다. 자세히 보면 가짜지만, 지나가면서 보면 진짜처럼 보이거든요.

1. 공격자 관점

왜 이 기법을 사용하는가

  • 신뢰성 증대: 디지털 서명이 있으면 사용자가 안전한 프로그램이라고 착각할 가능성이 높아집니다
  • 보안 도구 우회: 일부 보안 솔루션이 서명 존재 여부만 확인하고 유효성 검증을 제대로 하지 않는 경우가 있어요
  • 분석가 혼동: 보안 분석가들도 서명이 있으면 일단 "정상 파일"로 분류하는 경우가 많거든요

동작 흐름

💡 쉬운 비유: 위조지폐를 만들 때 진짜 지폐의 디자인을 그대로 복사하지만, 실제 검증기에 넣으면 가짜로 판별되는 것과 같아요.

2. 실제 공격 사례

📌 APT37 - Operation Daybreak (2016)

배경: 북한과 연관된 것으로 추정되는 APT37이 한국을 포함한 동아시아 국가들의 정부 기관과 기업을 대상으로 한 공격이었습니다. 이들의 목표는 정치적 정보와 기밀 문서 탈취였어요.

공격 과정:

  1. Flash Player 제로데이 취약점을 이용한 스피어피싱 이메일 발송
  2. 악성코드에 "Tencent Technology (Shenzhen) Company Limited"라는 가짜 회사명으로 서명 부착
  3. 피해자가 파일을 실행할 때 유명한 중국 IT 기업의 소프트웨어로 착각하게 만듦

피해 규모: 러시아, 네팔, 한국, 중국, 인도, 쿠웨이트, 루마니아 등 7개국에서 피해 발생

출처: Operation Daybreak - Kaspersky Securelist

📌 BADNEWS - Patchwork 그룹 (2017)

배경: 파키스탄의 Patchwork 그룹이 인도 정부와 군사 기관을 대상으로 한 장기간 사이버 스파이 작전에서 사용된 사례입니다.

공격 과정:

  1. BADNEWS 악성코드를 개발하여 RAT(Remote Access Trojan) 기능 구현
  1. 무효한 Authenticode 인증서로 서명하여 정당한 소프트웨어처럼 위장
  2. 사회공학적 기법과 결합하여 정부 관계자들에게 배포

피해 규모: 인도 정부 및 군사 관련 기관 다수 감염, 기밀 문서 대량 유출

출처: Untangling the Patchwork Cyberespionage Group - Trend Micro

📌 NETWIRE RAT - 표적 공격 (2015)

배경: 금융 기관과 기업을 대상으로 한 표적 공격에서 NETWIRE RAT이 사용된 사례입니다. 공격자들은 원격 접근과 데이터 탈취를 목표로 했어요.

공격 과정:

  1. 이메일 첨부파일 형태로 NETWIRE 클라이언트 배포
  2. 가짜 디지털 인증서로 서명하여 보안 솔루션 탐지 회피
  3. 시스템 감염 후 키로거, 스크린샷 캡처, 파일 탈취 등 수행

피해 규모: 북미와 유럽의 금융 기관 및 기업 다수 감염

출처: NETWIRE - MITRE ATT&CK

3. 왜 탐지가 어려운가?

공식 탐지 방법

  • DET0031 Invalid Code Signature Execution Detection via Metadata and Behavioral Context - AN0089: 메타데이터에서는 코드가 서명되었다고 주장하지만 실제 검증에서는 실패하는 바이너리의 실행을 탐지합니다. 이런 행동은 종종 의심스러운 부모 프로세스나 예상치 못한 실행 경로와 연관됩니다.

공격자가 이 기법을 선호하는 이유

  • 시각적 속임: 파일 속성에서 서명 정보가 보이면 사용자들은 안전하다고 생각하는 경우가 많아요
  • 자동화된 검사 우회: 일부 보안 도구들이 서명 존재 여부만 확인하고 유효성까지는 검증하지 않는 경우가 있거든요
  • 분석 지연: 보안 분석가들도 서명된 파일은 우선순위를 낮게 두는 경우가 있어서 발견이 늦어질 수 있습니다

탐지의 현실적 한계

공식 탐지 방법이 있어도 실제 환경에서는 몇 가지 한계가 있어요. 먼저 모든 실행 파일의 서명을 실시간으로 검증하려면 상당한 시스템 리소스가 필요합니다. 또한 일부 정상적인 소프트웨어도 개발 과정에서 임시로 무효한 서명을 가질 수 있어서 오탐이 발생할 가능성도 있고요.

4. 나도 위험할까? 자가 진단

이 공격이 나와 관련 있는지 확인해보세요.

이런 환경이라면 주의가 필요합니다

  • 이메일 첨부파일을 자주 실행하는 업무 환경에서 일하고 있다

  • 인터넷에서 다운로드한 프로그램을 설치할 때 디지털 서명만 확인하고 실행한다

  • 보안 솔루션이 파일 실행 시 서명 유효성까지 검증하지 않는 것 같다

  • USB나 외부 저장장치로 파일을 자주 주고받는 환경이다

공식 대응 방안

  • M1045 Code Signing (코드 서명): 서명된 바이너리만 실행하도록 요구합니다.

당장 할 수 있는 것

  • 프로그램 설치 전 파일 우클릭 → 속성 → 디지털 서명 탭에서 서명 유효성을 직접 확인해보기
  • 의심스러운 파일은 VirusTotal 같은 온라인 스캐너로 먼저 검사한 후 실행하기
  • 🏢 보안 담당자: PowerShell로 Get-AuthenticodeSignature 명령어를 사용해 서명 유효성 검증 스크립트 작성 및 배포

5. 관련 기술

기법어떤 상황에서 함께 사용되나
T1036.005 Match Legitimate Name or Location가짜 서명과 함께 정상 프로그램과 유사한 파일명을 사용해 신뢰성을 더욱 높일 때
T1055 Process Injection서명으로 초기 실행을 성공시킨 후, 정상 프로세스에 악성 코드를 주입해 지속적인 은닉을 할 때

참고 자료

📌 이 글은 AI(Claude) 를 활용하여 작성되었으며, MITRE ATT&CK (최신 버전) 을 기준으로 합니다. 본 콘텐츠는 보안 교육 및 방어 목적으로만 제공되며, 이를 악용한 불법 행위에 대한 책임은 전적으로 행위자 본인에게 있습니다.

?뱛 ??湲€?€ [?꾩옣 湲곕쾿(T1036) ?쒕━利?(/blog/attack-security-file-t1036-v5w5uamj)???쇰??낅땲??

COMMENTS (0)

댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.