北 해킹조직 의심...탈취 정보로 국책 연구기관 기계연 공격 시도까지

SK텔레콤 유심(USIM) 정보 해킹 사태가 일파만파로 확산하는 가운데 CJ올리브네트웍스의 인증서 파일이 해킹으로 유출된 것으로 나타났다.

CJ올리브네트웍스는 CJ대한통운, CJ ENM 등 CJ그룹 주요 계열사의 IT 인프라를 관리한다. 국내외 제조업 기업을 상대로 스마트팩토리, 물류 자동화 시스템 등 B2B 설루션도 제공하고 있어 우려가 확산하고 있다.

7일 글로벌 위협정보 플랫폼 '바이러스 토탈'에 따르면, CJ올리브네트웍스 내부 개발자들이 사용하는 인증서가 외부에 유출, 한 악성코드에 사용됐다.

유출된 인증서는 코드사이닝(프로그램을 다운로드할 때 해당 프로그램의 인증을 해주는 서비스)에 사용된다. 'CJ올리브네트웍스가 만든 안전한 실행파일이니 믿고 사용해도 된다'는 의미다.

CJ올리브네트웍스는 이번 유출 의심 파일의 경우 개발 및 배포 때 쓰는 인증서로서 인지 즉시 폐기처리해 실행파일(.exe파일)을 클릭하더라도 유효하지 않은 인증서라고 표기된다고 밝혔다.

하지만 중국 보안기업 레드드립팀은 엑스(X·옛 트위터)를 통해 북한 해킹그룹 '킴수키'가 CJ올리브네트웍스 인증서를 악용한 정황을 공개했다. 킴수키가 협력사 '플랜아이'를 루트로 삼아 국책연구기관인 한국기계연구원를 공격하려 했던 것으로 추정했다.

CJ올리브네트웍스 측은 해킹 사실을 파악한 뒤 한국인터넷진흥원(KISA)에 피해 사실을 신고했다.

CJ올리브네트웍스 관계자는 "해당 인증서는 소프트웨어 개발·배포 용도로 발급된 것"이라며 "확인 후 오전에 즉시 폐기했으며, 현재 인증서는 유효하지 않은 상황"이라고 전했다.

기계연 관계자는 "(지난달) 30일 홈페이지 관리업체를 통해 해킹 시도가 있었던 것은 사실"이라며 "현재는 조치를 완료했고, 문서가 유출된 데 대해서는 업체에 설명을 요청했다"고 말했다.