수학능력시험이 끝난 후 수험생들이 대학 지원을 위해 대학교 사이트 접속이 늘어나고 있는 가운데, 대학교 입학처 사이트에 타깃 공격으로 추정되는 악성링크가 삽입돼 있는 정황이 발견됐다.
빛스캔은 15일 국내 한 대학 사이트에 악성링크가 삽입돼 있는 것을 발견했다고 밝혔다. 공격에 이용된 악성링크는 대학 입학처 사이트의 웹 공용모듈에 삽입됐고, 첫 페이지가 아닌 하위페이지에 접속하더라도 악성코드에 감염될 수 있도록 교묘하게 공격이 이뤄진 것으로 보인다. 실제 다운로드되는 악성코드 파일은 최근 계속 활동중인 공인인증서 탈취를 하는 파밍 기능도 가진 것으로 확인됐다.
악성링크는 멀웨어넷(MalwareNet)의 형태를 띄우고 있으며, <그림>과 같이 세력을 계속 확장해 나아가고 있다. 멀웨어넷과 같은 경우 하나의 악성링크가 수 많은 사이트에 삽입돼 영향을 주고 하나의 악성코드로 연결하는 경유지 역할을 하고 있으며, 이를 통해 취약한 사용자가 감염된 PC의 정보는 공격자가 마련해둔 C&C서버 한곳으로 전송하게 된다.
실제로 해당 멀웨어넷 통해 유포된 공격자의 서버를 확인한 결과 일반형식의 악성코드 유포 방식보다 많은 사용자의 공인인증서가 탈취된 것도 확인됐다.
빛스캔 관계자는 “최근 악성링크의 유포가 점차 증가하고 있으며, 영향력 있는 사이트와 일반적인 사이트 가릴 것 없이 취약한 사이트라면 공격자가 악성링크를 삽입하고 있는 상황”이라며 “일반적으로는 그에 대한 사실을 모르거나, 임시적으로 악성링크를 지우기에 급급한 것이 현실이다. 서버에 대한 루트킷과 같은 백도어 점검, 웹 취약점의 진단 및 해결 등을 통해 원천적인 문제를 해결하지 않는다면, 동일한 문제가 지속적으로 발생할 수 밖에 없으며, 이로 인해 실제적으로 피해는 해당 사이트에 정보를 얻기 위해 방문하는 사용자에게 발생하게 된다”고 지적했다.
