악성코드 공격자들이 아주대학교 웹사이트를 해킹해 7주 연속 주말에 악성코드를 유포한 것으로 나타났다.
 
입시철, 대학사이트에 접속자가 증가하는 것을 노려 이를 악용한 악성코드 유포가 용이해지자 악성코드 공격자들이 아주대를 해킹해 접속자들을 대상으로 감염을 시도한 사례다.

아주대 악성코드 유포를 직접 확인한 빛스캔 조근영 연구원은 “공격자들은 입시철에 대학교 사이트로 각종 방문자들이 몰리는 것을 지켜보고 있다. 즉 모두 관찰하고 있으며 어느 곳에 악성코드를 유포하는 게 가장 많은 좀비 PC를 만들 수 있는지 끊임없이 생각하고 있다”며 “또한 대학교에는 아주 많은 하위 도메인들이 있다. 그 하위 도메인들은 그 대학교만이 알 수 있다. 하위 도메인에서 악성코드를 유포하는 것은 어떻게 탐지할까. 다른 대학교들은 정말 문제가 없는 것일까. 공격자들은 이렇게까지 지켜보고 있으며 우리를 유린하고 있는데 현재 우리들은 어떤 대응을 하고 있는가. 국가적인 차원의 전면적인 대응이 있어야 하지 않을까”라고 밝혔다.
 
또 조 연구원은 “아주대학교에서 9월 10일 오전 5시부터 10월 29일까지 7주 연속 매주 빠지지 않고 주말을 이용해 악성코드를 유포했다”며 “이렇게 지속적으로 악성코드를 유포한다는 것은 공격자들이 이미 아주대학교 서버의 권한을 장악하고 있다고 봐야 한다”고 밝혔다.

 
<아주대 악성코드 삽입 내역 일시>
9월 10일 05시경 xxx.73.157.162/pic/img.js
9월 16일 09시경 xxx.73.157.163/pic/img.js
9월 17일 00시경 xxx.73.157.165/pic/img.js
9월 24일 00시경 xxx.73.157.168/pic/img.js
9월 30일 02시경 xxx.73.157.166/pic/img.js
10월 7일 22시경 xxx.46.78.244/pic/img.js
10월 15일 00시경 xxx.46.78.243/pic/img.js
10월 27일 19시경 xxx.46.78.247/pic/img.js
10월 28일 00시경 xxx.46.78.249/pic/img.js
10월 29일 00시경 xxx.164.8.226/pic/img.js
 
모두 최초 발견일들이며 매 일시마다 새로운 악성링크들이 추가되어 공격에 이용 되었다. 즉 공격자가 자유자재로 아주대 웹사이트를 원격에서 제어하고 있음을 알 수 있다.
 
조근영 연구원은 “악성링크들의 주소들을 살펴보면 일련의 공통점들이 있다”며 “악성링크들이 C클래스는 동일하고 하위 8비트만 다른 것으로 보아 악성링크가 접속하는 곳은 공격자들이 모든 권한을 가지고 있고 일주일에 한 번씩 하위 8비트만 다른 것으로 바꾸는 것을 확인하실 수 있다”고 설명했다.
 
 
또 그는 “해당 IP를 조회해 본 결과 미국내 캘리포니아에 위치한 EGIHosting 업체로 드러났다”며 “EGIHosting사의 IP 대역 상당수를 직접 악성링크로 활용한 사례가 매우 많이 발견되어 해당 IP대역에 대해 강력한 차단을 유지해야 한다”고 권고했다.
 
 
빛스캔 조사결과, 아주대에 걸린 악성링크는 각종 취약성들이 복합적으로 활용되어 공격성공률을 평균 60% 정도로 높이고 있다. Java 관련 취약점인 CVE-2011-3544, CVE-2012-4681, CVE-2012-1723, MS관련 취약점인 CVE-2012-1255, CVE-2012-1889 등이 사용된 것으로 조사됐다.
 
조 연구원은 “이 취약점들은 이미 벤더사에서 패치를 발표했지만 각종 애플리케이션(Java, IE, Java), 윈도우 업데이트 등을 사용자가 제대로 하지 않아 사용자 PC가 악성코드 감염 위험에 노출되어 있다”며 “이에 따라 공격에 주로 사용되는 자바, 플래쉬, 윈도우 최신 업데이트가 반드시 필요하다”고 강조했다.  
 
해당 악성링크에서 방문자 PC에 설치된 악성코드들은 모두 게임계정 탈취 및 금융정보 탈취를 목적으로 하는 악성코드로 드러났다. 또 국내·외 유명 백신들이 탐지하지 못하는 악성코드들이 사용자 PC에 설치되는 상황이다.
 
즉 유포 기간에는 아주대학교에 접속하는 학생들이나 교직원, 학부모 가운데 IE, Java, Flash, 윈도우를 최신버전으로 업데이트하지 않았다면 접속만해도 PC에 악성코드가 감염되는 상황이다.
 
조 연구원은 “소니 사태를 보면 알 수 있듯 현재는 정보보안이 회사의 사활을 좌우할 만큼 영향력이 매우 커졌다. 지켜야 할 그 무엇이 있는 기업과 기관이라면 반드시 해야 하는 새로운 분야는 웹 서비스들에 대한 상시적이고 일상적인 리스크 관리를 해야 한다”고 덧붙였다.
 
또 “공격자들은 항상 지켜보고 있고 수시로 공격을 시도한다. 방문자가 많은 사이트들은 최소한 1~2일에 한 번씩 변화가 있는지 그리고 손 쉬운 공격에 당할 수 있는 부분들이 없는지 체크해야 한다”고 조언했다.
 
악성코드 유포지는 빛스캔(대표 문일준 scan.bitscan.co.kr)에서 무료로 확인해 볼 수 있다. 관리자가 없는 주말을 틈 타 공격하는 공격자들을 방어하기 위한 사전대응 마련이 필요한 상황이다. 사이트 방문자 보호를 위한 아주대측의 근본적인 대책마련이 요구된다.