2025.05.07 CJ올리브네트웍스 디지털 인증서 유출 사고 요약

1. 개요

• 2025년 5월 7일, CJ그룹 IT 인프라 관리사인 CJ올리브네트웍스의 디지털 인증서가 해킹되어 유출되었습니다.
• 북한 해킹 조직 '김수키'가 악성코드에 인증서를 탑재해 국책 연구기관을 공격하려 한 정황이 확인되었습니다.
• 회사는 유출 사실 확인 즉시 인증서를 폐기하고 관련 기관에 신고했습니다.

 

2. 발견 경로

• 중국 보안 기업 레드드립팀(RedDrip Team)이 2025년 4월 말 북한발 악성 파일을 분석하던 중, CJ올리브네트웍스의 디지털 서명이 탑재된 것을 확인했습니다.
• 해당 파일은 글로벌 위협정보 플랫폼 바이러스 토탈(VirusTotal)을 통해 공개되었습니다.

 

3. 악성 파일 특징

• 위장 기법: 정상 소프트웨어로 위장해 코드사이닝(Code Signing) 기술을 활용했습니다.
• 탐지 우회: CJ올리브네트웍스의 디지털 서명을 악용해 보안 프로그램(방화벽·백신)이 악성코드를 "신뢰할 수 있는 파일"로 인식하도록 조작했습니다.
• 공격 수단: PDF·HWP·LNK 파일 형식의 악성 첨부파일을 스피어피싱 메일로 유포했습니다.

 

4. 공격 대상

• 1차 표적: CJ올리브네트웍스의 내부 개발서버 및 빌드시스템 (인증서 탈취 목적).
• 최종 표적: 한국기계연구원(KIMM) 등 국내 정부출연연구기관.
• KIMM 공격 시도는 협력업체 플랜아이(Plan I)를 통해 이뤄졌으며, 악성코드가 포함된 파일이 배포되었습니다.

 

5. 공격 조직

• 북한 정찰총국 산하 해킹그룹 김수키(Kimsuky)로 추정됩니다.
• 기법: 표적 조직 담당자를 겨냥한 스피어피싱, 가짜 업무 메일 발송, 내부망 횡적 이동(RDP 활용) 등.

 

6. 피해범위

• 소프트웨어 개발용 인증서가 유출되어 악성코드 유포에 악용될 위험이 있었습니다.
• 한국기계연구원 등 국책 기관을 표적으로 한 공격 시도가 있었으나, 실제 피해는 발생하지 않았습니다.

 

7. 유출항목

• 디지털 서명 인증서(코드사이닝 용도)가 유출되었습니다.

 

8. 원인

• 북한 해킹 조직 '김수키'의 표적 공격으로 추정됩니다.
• 외주업체 또는 내부 시스템의 보안 취약점이 악용된 것으로 파악됩니다.

 

9. 대응

• 즉시 조치: 유출된 인증서 폐기, 해킹 IP 차단, KISA 신고를 진행했습니다.
• 추가 조치: 보안 프로토콜 전면 재검토 및 외주업체 관리 강화를 발표했습니다.
• 고객 안내: 유출 항목 및 피해 가능성에 대한 공지를 실시했습니다.
• 한국기계연구원은 협력업체를 통해 유입된 의심 파일을 차단하고 추가 조사에 나섰습니다.

 

10. 문제점

• 공급망 취약성: CJ올리브네트웍스는 직접 해킹당하지 않았으나, 외주업체 또는 내부 개발 시스템의 보안 허점을 통해 인증서가 유출되었습니다.
• 국가 주요 기관 위협: 김수키는 탈취한 인증서로 국가기관을 표적 삼아 산업스파이 활동 또는 시스템 장악을 시도한 것으로 분석됩니다.
• 탐지 지연: 인증서 유출 후 KIMM 공격 시도까지 약 1개월 간격이 있었으나, 사전 차단에 실패했습니다.