CJ그룹의 IT 인프라를 담당하는 CJ올리브네트웍스의 전자서명 인증서 파일이 해킹으로 유출된 것으로 확인됐다. 정식 소프트웨어 인증 수단이 유출됐다는 점에서, 계열사와 협력사로 번질 수 있는 공급망 보안 우려도 제기되고 있다.

8일 보안업계에 따르면 지난달 말 공개된 북한발 악성파일에서 CJ올리브네트웍스의 디지털 서명이 탑재된 것이 발견됐다. 이 파일은 업무 문서를 위장한 형태로, 실행 시 사용자 몰래 악성코드를 설치하고 외부 서버와 연결해 정보를 빼내는 기능을 갖춘 것으로 분석된다.

디지털 서명은 프로그램이 신뢰할 수 있는 회사에서 만든 정상적인 파일이라는 것을 증명하는 기술이다. 윈도우 운영체제나 백신 프로그램은 이런 서명이 붙은 파일을 정상으로 인식해 탐지를 우회하는 경우가 많다. 이번처럼 정상 서명이 붙은 악성코드는 사용자의 신뢰를 악용해 개인정보 유출 등의 피해를 입힐 수 있다.

이번 공격 배후로는 북한의 해킹 조직 '김수키(Kimsuky)'가 지목되고 있다. 해당 그룹은 과거부터 한국 정부기관, 국책 연구기관, 방위산업체 등을 겨냥한 지능형 해킹을 반복해 온 것으로 알려져 있다. 중국 보안기업 레드드립팀(RedDrip Team)도 이를 김수키 조직의 서명 탈취 활용 사례 중 하나로 언급하기도 했다.

보안업계에서는 이번 사건이 단순한 악성코드 유포에 그치지 않고, 공급망 공격으로 이어질 가능성 있다는 우려의 목소리를 내고 있다. CJ올리브네트웍스는 CJ대한통운, CJ ENM 등 주요 계열사의 IT 인프라를 관리하는 기업으로, 이 인증서가 다른 시스템 공격에 재활용될 경우 피해 범위는 기하급수적으로 늘어날 수 있기 때문이다.

실제로 2019년에도 ASUS의 정식 서명이 붙은 업데이트 프로그램이 악성코드에 감염돼 약 50만 대 이상의 PC가 피해를 입은 바 있으며, 2020년 미국의 '솔라윈즈' 사태에서는 기업 소프트웨어에 악성코드가 삽입돼 미국 정부기관과 대기업까지 감염되는 사태로 번졌다.

CJ올리브네트웍스 측은 현재 해당 인증서가 어떤 방식으로 유출됐는지, 구체적인 침입 시점과 경로는 아직 파악되지 않았다고 밝혔다. 다만 내부 조사와 함께 한국인터넷진흥원(KISA) 등 관계 기관에 관련 사실을 통보하고, 문제가 된 인증서는 즉시 폐기 조치했다는 입장이다.

CJ올리브네트웍스 관계자는 "해당 사실을 인지한 뒤 한국인터넷진흥원(KISA)에 관련 내용을 신고하고, 문제의 인증서를 폐기했다고 설명했다"라며 "문제가 된 인증서는 내부서 특정 서비스에 한정해 사용되고 있던 것으로 고객 정보와는 무관하다"라고 전했다.