대학교와 관련 웹사이트들이 악성코드 유포지로 악용되고 있는 것으로 나타났다.
빛스캔은 최근 발견되고 있는 새로운 공격에 대학교 및 관련 사이트 10개 이상이 이용되고 있다고 15일 밝혔다.
지난 1일부터 7일까지 중국 연휴인 국경절 동안 국내 웹사이트를 통한 악성코드 유포는 다소 주춤했지만, 공격자들은 공격을 중지한 것이 아니라 새로운 공격을 위한 준비의 시간이었다. 대표적인 예가 카운터 서버 링크만을 삽입하고, 공격 코드는 넣지 않는 상태를 유지해 대응을 우회하는 것을 들 수 있다. 이러한 웹사이트들은 대부분 예전에 악성코드 유포에 이용되었던 사이트다.
빛스캔이 카운터 서버 링크만 삽입된 웹사이트를 분석해본 결과, 최소 10여개 이상의 대학교 관련 웹사이트에서 이와 같은 징후가 발견됐다.
해당 웹사이트는 최근 몇 주부터 길게는 1개월여동안 방치된 상태이며, 대부분 웹사이트의 공통 모듈인 JS 파일 또는 특정 페이지의 내부 깊숙이 숨겨져 있는 경우도 있다. 예를 들어, 10여개의 사이트는 사전공격 징후인 카운터서버가 삽입돼 있는 상태이며 악성링크는 9월 2일 최초탐지된 이후로 방치되고 있다. 참고로 현재도 동작하고 있는 악성링크는 최초 발견 당시 리그 익스플로잇 키트(RIG Exploit Kit)로 연결하는 경유지의 역할을 했다.
이러한 공격의 공통점은 관제가 집중되고 있는 메인 페이지가 아닌 분리되거나 하위에 있는 특정 페이지에서 발생한다는 점으로, 최근에 발생한 위키트리 언론 매체의 악성 링크 변조 공격과 유사한 점을 보이고 있으며, 앞에서 언급한 바와 같이 최대 1개월까지 대응이 되지 않고 있다는 점이다.
악성코드 유포의 통로가 있다는 것은 그 사이트에 대한 모든 권한이 공격자에게 소유되고 있다는 것으로도 볼 수 있다. 특히, 회원가입 페이지도 해당 웹사이트를 통해 DB로 저장이 된다면 취업을 위한 학생뿐만 아니라 구인을 원하는 기업들의 정보까지 공격자의 손에 넘어 갈 수 있어 매우 심각한 사안이라고 볼 수 있다.
빛스캔 관계자는 “많은 사이트에서도 이와 같은 현상이 동일하게 이뤄지고 있다. 근본적인 원인 수정과 지속적인 관찰이 되지 않는다면 매주, 매달, 매년 악성코드 유포지의 이용은 계속 될 수 밖에 없다. 끊임없이 웹을 통한 악성코드 감염을 체크하고, 전체 보안 수준을 일정수준 이상으로 유지하지 않는 상황에서 단편적인 대응만 계속하는 것은 한국내의 대부분의 웹 서비스들이 동일한 상황”이라고 말했다.
