이런 가운데 국내에서 동일한 기능을 가진 악성코드 제거 프로그램 및 개인정보 보안 솔루션 제품을 이름만 변경하여 대량으로 배포하는 모 업체의 유효한 디지털 인증서 일부가 최근에 인증 기관으로부터 해지된 정황을 발견하였습니다.
해당 업체는 개인적으로 확인된 정보에 의하면 악성코드 제거 프로그램 19종, 개인정보 보안 솔루션 11종을 현재 운영 중이며, 이 중에서 2개 제품의 설치 파일에 포함된 디지털 인증서가 해지된 것으로 보입니다.
- MD5 : cd7ed9cc01289188daa599884ad81baa - BitDefender : Gen:Variant.Graftor.873 (VirusTotal : 14/43)
해당 개인정보 보안 솔루션 설치 파일의 디지털 인증서를 살펴보면, 연대 서명은 없으며 발급자는 "Thawte Code Signing CA - G2"인데 현재 인증 기관에 의해 해지되었다고 표시되고 있습니다.
특히 유효 기간이 2011년 8월 15일부터 2012년 10월 14일까지 유효한데 2011년 11월 30일 수요일 오전 4시 22분에 해지된 상태입니다.
- MD5 : eab037f3f65b4778f7a0adec5a8379d9 - Microsoft : Program:Win32/Vakcune (VirusTotal : 30/43)
또 다른 악성코드 제거 프로그램 설치 파일의 디지털 인증서를 살펴보면, 연대 서명이 포함되어 있으며 "Thawte Code Signing CA - G2"에서 발급한 동일한 유효 기간을 가진 디지털 인증서가 발급자에 의해 해지된 것을 확인할 수 있습니다.
해당 디지털 인증서 모두 동일한 공개 키를 가지고 있으며, 해지 일자가 동일하다는 공통점이 있는 반면 일반적으로 위와 같이 동일한 공개 키를 가진 디지털 인증서가 해지가 이루어지면 자동으로 다른 인증서에도 동일하게 처리가 될 것으로 보이는데 그렇지 못한 경우도 발견이 되고 있습니다.
- MD5 : fc78f521c9bab2f9db23bf4be4dfdb85 - AhnLab V3 : Trojan/Win32.Agent (VirusTotal : 22/43)
예를 들어 해당 업체가 배포하는 다른 악성코드 제거 프로그램의 디지털 인증서는 해지된 인증서와 동일한 공개 키를 가지고 있지만 현재 유효한 인증서로 표시가 이루어지고 있다는 점입니다.
- MD5 : e907604a1ea44d435ac804f805091413 - Symantec : Trojan.ADH.2 (VirusTotal : 20/43)
또한 해당 업체의 개인정보 보안 솔루션 제품 중 일부는 디지털 인증서 유효 기간은 종료되었지만 해지와 관련된 영향을 받지 않고 있는 것으로 보입니다.
현재 총 30종의 해당 업체 홈페이지에서 제공하는 설치 파일을 모두 확인한 결과 2종의 제품에 포함한 디지털 인증서가 최근에 해지된 것으로 보이며, 어떤 이유로 유효한 기간 중에 강제로 해지 처리가 되었는지 모르지만 이스트소프트사와 같이 악성코드에 악용되었거나 또는 해당 프로그램들이 악성코드처럼 유포되는 정황이 포착된 것이 아닌가 의심이 됩니다.(※ 국내법 상으로는 이들 프로그램의 진단에 제약이 있지만, 해외 다수 보안 제품에서는 이들 프로그램을 악성 파일로 진단하는 비율이 높다는 점은 의미하는 바가 큽니다.)
그러므로 사용자들은 설치 파일을 인터넷 상에서 다운로드하여 반드시 디지털 인증서 유효 여부도 체크하는 습관이 필요해 보입니다.