중앙대학교 전산원이 해킹을 당해 3주째 악성코드 중계지로 직접 활용되고 있어 심각한 상황이다. 공격자들은 중앙대 전산원 웹서비스에 인위적인 파일을 공격자가 생성한 이후 그 파일내에 악성링크로 연결되는 코드를 넣어둔다. 이후 중앙대 전산원에 추가한 경로를 다른 언론사 및 커뮤니티, 쇼핑몰에 공격자가 인위적으로 소스를 변경해 추가하는 방식으로 악성코드를 유포하고 있다.  

 
빛스캔 관계자는 “본 자료는 원칙에 따라 공개된다. 악성링크로 직접 이용되는 통로들에 대해서는 보안동향 분석 보고서상에서 직접 언급을 하고 공개를 하고 있다”며 “악성링크들이 추가되어 실제적으로 감염을 시키는 일반 웹서비스들에 대한 공개는 여러 문제들이 있지만 공격자가 직접 악성코드 유포에 이용하는 통로에 대해서만은 분명한 공개가 원칙이며 이번의 중앙대학 서비스의 경우 3주째 악성링크로 직접 활용이 되고 있고 심각성이 높은 관계로 공개를 하며 전체적인 보호에 노력을 기울이길 바라는 차원에서 공개한다”고 밝혔다.
 
중앙대 전산원의 경우, 총 3주간에 걸쳐 지속적으로 소스가 공격자에 의해 변경 되었고 악성코드 중계지로 직접 활용이 되어 여러 쇼핑몰 및 커뮤니티, 언론사 웹서비스에 악성링크로 활용 되고 있는 것이 빛스캔의 악성코드 유포지 분석을 통해 확인됐다.
 
공격의 개요는 중앙대 전산원 웹서비스에 인위적인 파일을 공격자가 생성한 이후 그 파일내에 악성링크로 연결되는 코드를 넣어둔다. 이후 중앙대 전산원에 추가한 경로를 다른 언론사 및 커뮤니티, 쇼핑몰에 공격자가 인위적으로 소스를 변경하여 추가한다.(아래 이미지들의 저작권은 빛스캔)

 
전상훈 빛스캔 기술이사는 “이런 유형의 공격은 대부분 탐지를 회피하기 위한 목적으로 여러 단계를 거치도록 만들어져 있으며 해외 도메인이 아닌 국내의 도메인 자체를 중계지로 활용 함으로써 차단이나 빠른 대응이 어렵도록 하기 위한 것이 목적”이라고 설명했다.
 
내부에 추가된 악성링크 코드와 3주간의 악성링크의 변화는 모두 기록화되어 있으며 공격자가 인위적으로 생성한 악성링크 정보는 다음과 같다.

 
위 이미지는 5월 11일 8시 25분에 발견된 악성링크의 소스내용이며 내용에는 두 가지 코드가 들어 있고 첫번째 코드는 직접적인 공격에 이용되는 악성링크 부분이며 eval로 시작하는 부분은 통계 사이트로 연결 되는 부분이다. 5월 16일 현재 해당 소스들은 삭제되어 있다.
 
-4월 30일 다른 사이트에 악성코드 유포용으로 추가된 주소 최초 발견 ,
악성링크 - http://www.icst.cau.ac.kr/M4/images/img.html
-5.4일 악성코드 중계지로 직접 활용됨 , 악성링크 - http://174.127.79.234/pic/img.js
-5.5일 악성링크 주소 변경 후 활용, 악성링크 - http://50.117.119.83/pic/img.js
-5.11일 재차 악성코드 중계지로 직접 활용, 악성링크 - http://50.117.119.85/pic/img.js
 
5.11일자의 악성링크의 구조는 다음과 같다.

 
CVE 2012-0507(Java Applet 취약성 공격), CVE-2011-3544(Java script engine remote code execution) 취약성이 공격에 이용 되었으며, 최종 사용자 PC에 설치 되는 악성코드는 국내 다수의 게임 계정을 해킹하는 용도로 사용 되었다. 최종 설치파일은 dock23.css 파일이며 ws2help.dll, wshtcpip.dll 파일변조 및 DLL 인젝션을 통해 각종 국내의 유명 게임들이 실행 될 경우 시스템 레벨에서 계정 정보를 탈취하는 역할을 수행한 것으로 드러났다.
 
빛스캔 측은 “본 정보의 공개 목적은 여러 차례에 걸쳐 반복적으로 이용되고 있는 악성링크에 대해 심각성을 알리기 위한 목적이며 어떤 경우든 악성링크로 3회 이상 반복적으로 이용이 되는 부분에 있어서는 해외뿐 아니라 국내에도 동일한 원칙을 적용해 공개하도록 하겠다”고 밝혔다.
 
최근의 공격은 탐지의 우회를 위해 국내 사이트를 해킹한 이후 그 사이트에 악성링크로 연결되는 코드를 심어둔다. 그리고 그 이후에 다른 유명 사이트들을 해킹해 소스코드에 이미 해킹해 변조한 주소를 넣어주게 된다. 이번 경우에는 중앙대 전산원을 해킹해 악성코드로 연결 되도록 소스를 올려둔 이후에 다른 여러 유명사이트들을 해킹하고 그 사이트들의 소스코드에 중앙대 전산원 주소를 넣는 방식으로 다단계 형식으로 이용이 되었다.
 
전상훈 이사는 “탐지 회피를 위한 공격자들의 노력은 이처럼 집요하고 계속 되고 있다. 전체의 보안성이 개선되지 않는다면 계속될 것이고 인터넷 보안의 모든 부분에서 위험을 줄이기 위해 노력을 강화해야 할 것”이라며 “지금 이 순간 웹서핑을 하는 모든 사용자들은 동일한 위험에 노출되어 있다. 공격 성공률 60%에 달하는 악성코드로 무장한 그들을 이겨내기 위해서는 큰 노력이 필요한 시점”이라고 강조했다.
 
더불어 “일회성으로 소스가 공격자에 의해 변경되어 본의 아니게 악성코드 유포에 이용된 경우 빛스캔에서는 공개를 하지 않는다”며 “다만 악성코드 유포에 직접 이용되는 경로로 이용되는 것은 다른 문제이며 중간 유통통로로 직접 이용된 경우 그리고 그 정도가 3회 이상인 경우 악성링크 정보는 공개한다는 원칙에 의해 공개하겠다”고 밝혔다.
[데일리시큐=길민권 기자]