Home / 뉴스 & 공지사항

ShadowPad 악성 코드 사건에 대한 안내와 입장
(nssock2.dll 악성 코드 감염에 대하여)

작성일: 2017-08-29

이번 악성 코드 사건으로 큰 불편을 드려 죄송하다는 말씀 먼저 드리겠습니다.

개요

2017년 7월 18일에 생산한 당사의 제품에 악성 코드가 포함되어 있었습니다. 네트워크 연결 및 처리를 담당하는 필수 DLL인 nssock2.dll이 변조된 것을 확인하였습니다.

2017년 8월 4일 즉시 해당 버전에 대한 배포를 중단하고 8월 5일 악성 코드를 제거한 버전을 배포하였습니다.

이후 이 문제를 처음 제기한 카스퍼스키랩과 한국인터넷진흥원(KISA)의 협조 아래 신속한 공지 후 원인 파악에 착수하여 이 악성 코드가 ShadowPad 종류의 악성 코드임을 확인하였습니다. 현재 거의 모든 백신 프로그램은 이 문제를 찾아 제거하고 있습니다.

자세한 내용 및 대응 방법에 대해서는 다음 글을 참고하시기 바랍니다.

https://www.netsarang.co.kr/news/security_exploit_in_july_18_2017_build.html

원인

해커의 침입으로 악성코드가 삽입되었습니다. KISA의 분석 도움으로 네트워크에 침입한 흔적은 물론 침입자의 궤적을 숨기려는 시도를 확인하였습니다.

전개 및 피해

피해를 최소화하기 위해 다음과 같은 조치를 취하였습니다.

  • 8월 4일 : 발견. 확산 차단을 위해 즉각적 배포 중단.
  • 8월 5일 : 새로운 빌드 배포
  • 8월 7일 : 백신 소프트웨어에서 문제의 빌드 실행 통제, 홈페이지 공지 및 해당 빌드 다운로드 사용자에게 이메일 공지
  • 8월 8일 : KISA의 협조 아래 원인 파악 시작
  • 8월 16일 : 해당 악성코드 ShadowPad로 분류
  • 8월 25일 : 새로 구성된 독립된 개발 환경에서 빌드한 새 패키지 배포. 세션 파일 내 암호 정보에 대한 암호화 키 변경.
  • ~ 8월 29일 : 2차 피해 사례 수집 중. 현재까지 발견 사례 없음.

향후 대응책

이런 불미스러운 일이 다시는 발생하지 않게 하고 당사의 제품에 대한 신뢰를 확보하기 위해 다음과 같은 조치를 취하겠습니다.

  • 시스템 새로 구축
  • 새 네트워크 시스템 구축
  • 개발 장비 최신 OS로 새로 구축
  • 개발자 PC 포맷 후 새로운 개발 환경으로 이전
  • 개발 장비 네트워크 완전 차단된 독립된 공간에서 빌드
  • 기존 EV Code signing 폐기 후 새 Code Signing 적용
  • 자체적 바이러스 체크 시스템에서 다중 체크 시스템 도입 : Virustotal 등 이용
  • 배포 후 상당 시간 동안 시스템 모니터링 및 네트워크 패킷 탐지
    • 2017년 8월 25일 배포한 패키지는 위의 조치 아래 생산된 패키지입니다.

㈜넷사랑컴퓨터의 입장

이번 사건으로 고객님들께 큰 불편을 드려 죄송하고 피해가 발생하지 않을까 두려운 마음입니다. 이번 사건으로 저희도 깨달은 바가 큽니다. 생산 및 관리 과정에서 생길 수 있는 작은 실수도 허용할 수 없다는 점을 깨달았으며 시스템 보안을 더욱 강화하는 계기가 되었습니다. 이번 사건을 여기에서 마무리하지 않고 계속해서 주시하면서 새로운 정보가 나오면 고객 여러분께 바로 알려 드리도록 하겠습니다. 고객 여러분들의 피해가 없기를 바라며 계속적인 관심과 애정을 바랍니다. 더불어 발견과 대처 과정에서 큰 도움을 준 카스퍼스키랩과 KISA 관계자 여러분께 깊은 감사를 드립니다.

감사합니다.