최근 정부 기관(go.kr) 도메인 사이트에서 ActiveX 배포 방식으로 설치되고 있는 키보드 보안 솔루션을 살펴보던 중 설치 과정에서 키보드 보안 솔루션의 인증서 개인키 비밀번호가 노출된 상태로 설치되는 부분을 확인하였습니다.

설치 과정을 살펴보면 사이트 접속시 키보드 보안 솔루션을 ActiveX 방식을 통해 easy******.cab 파일을 다운로드하여 설치가 진행됩니다.

CAB 파일을 내부를 확인해보면 2015년 7월 27일에 추가된 Easy******Cab.exe, *****tec_ExeCab.inf 2개의 파일이 압축되어 있으며, 설치시 EXE 파일 실행을 통해 다음과 같은 임시 파일 생성이 이루어집니다.

그런데 임시 파일 중에 인증비밀번호.txt 문서 파일이 생성되는 행위를 확인할 수 있으며, 이후 솔루션 설치가 완료되는 시점에서 관련 파일 일체가 자동으로 삭제되는 것을 알 수 있습니다.

의심되는 인증비밀번호.txt 문서을 확인해보면 평문으로 입력한 매우 유추하기 쉬운 "영문+숫자"로 구성된 비밀번호가 노출되고 있으며, 해당 비밀번호는 2014년 1월 21일에 생성되어 일정 기간 사용되었던 것이 아닌가 의심됩니다.

실제 키보드 보안 솔루션에서 사용되고 있는 인증서 비밀번호인지 확인을 해보면 2015년 12월 13일경 인증서가 만료되었음을 알 수 있습니다.

하지만 해당 인증서 개인키는 실제 키보드 보안 솔루션에서 사용하였던 유효한 개인키임을 확인할 수 있었다는 점에서 그동안 보안감사에서 적발되지 않고 2년 가까이 인증서 개인키를 부실하게 관리하고 있었다는 점에서 문제가 심각하였던 것으로 보입니다.