고려대학교 중국과학연구소 홈페이지에 악성코드가 유포되는 정황이 빛스캔(대표 문일준)의 악성코드 유포 탐지 시스템에 의해 포착됐다. 2012년도에도 국내 대학에서 악성코드 유포 사례가 있어서 데일리시큐에서 보도한 바 있지만, 2013년에도 대학 홈페이지에서 악성코드 유포는 계속 되고 있다.

 
빛스캔 분석결과에 따르면, 고려대학교 중국과학연구소에서는 지난 12월 30일 17시경 악성링크가 발견되었다. 발견된 악성링크는 175.117.1xx.3x/xxxxxe/xquery.js이며, 하위 악성링크로 자동 연결이 되게끔 되어 있다. 사용자 및 관리자가 인지하기 어려운 google 문자열을 사용하여 탐지를 회피하고자 했다.  

 
하위링크인 175.117.1xx.3x/xxogle/xxxxvacy.html는 다른 웹 서비스들 다수에 추가 되어 유포를 하였는데, 해당 악성링크를 통해 모든 방문자를 공격하고, 권한 획득 이후에 최종 설치되는 악성파일의 이름은 IEXPLORE.EXE이다. 해당 악성파일은 인터넷 뱅킹 접속 시에 피싱사이트로 자동 연결토록 하는 기능을 가지고 있으며 사용자가 입력하는 모든 정보를 탈취 할 수 있는 기능을 가지고 있는 상태라고 설명했다.
 
해당 악성파일의 역할은 다운로더 기능은 물론 금융정보 탈취용으로 활용 되고 있으며, 간이분석을 통해 행위를 파악해 보면 다음과 같은 행위를 하는 것으로 파악되었다.
1. %driver%gdhgxioffffffushsew.sys 생성
2. %temp%migddxhdddddddsie.exe 생성
3. 아래 사이트에서 추가 악성코드 다운로드 행위
 -www.cafeshow.co.kr
 
빛스캔 관계자는 “공격자는 홈페이지에 악성링크 한 줄 삽입으로 해당 홈페이지에 방문하는 방문자 PC에 감염 확률을 높이고자, IE 취약점, JAVA 취약점등 6가지 종류의 취약점을 이용하여 공격을 시도하고 있다. 악성링크 한 줄 안에는 악성파일을 다운받는 최종링크가 난독화 되어 있다”며 “홈페이지 방문만으로도 악성링크에 걸려있는 자동화 루틴에 의해서 drive-by-download를 통해서 방문자도 모르게 감염이 되고 있다”고 우려를 표했다.

 
더불어 “웹 서비스 내에 비정상적인 링크만 빠르게 찾아 악성링크만 차단하게 된다면 좀 더 빠르게 방어할 수 있을 것”이라고 덧붙였다.
 
웹서핑만으로도 감염이 되는 악성코드의 공습으로부터 보호하기 위해서는 선별적으로 악성링크만을 차단하는 전용장비 등을 통해 내부 사용자를 악성코드로부터 보호하고 위험 정보를 상시적으로 확인 함으로써 대비를 해야 할 것이다. 현재 상용화된 장비로는 트라이큐브랩 CubeDefence가 있다.
 
현재 빛스캔은 국내 120만개의 웹 서비스와 해외 10만 여 개의 웹 서비스를 모니터링하며 악성코드 유포에 이용되는 악성링크를 추적하고 있다. 특히 전세계적으로 공격이 매우 극심한 국내의 상황에서 특화된 기술과 역량을 통해 집중적인 노력을 기울이고 있으며 매주 수요일 한주간의 한국 인터넷 위협현황에 대해 카이스트와 공동으로 정보를 제공 하고 있다. 문의는 info@bitscan.co.kr로 하면 된다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com