대학 웹사이트를 해킹해 악성코들 유포하는 상황이 계속 발생하고 있다. 지난 12월 30일 경부터 현재까지 장안대학교 메인페이지에 모든 방문자를 대상으로 악성코드 감염이 이루어지고 있는 상황이다. 이는 빛스캔(대표 문일준) 악성코드 유포 탐지 시스템에 의해 확인됐다. 학교 홈페이지를 방문하는 모든 학생들의 PC에 악성코드 감염이 우려되는 상황이다. 신속한 조치가 필요하다.

 
빛스캔 관계자에 따르면, “장안대학교 홈페이지에 삽입 된 악성링크는 direcxxxxrd.xx.kr/dxxa/qxa/com.js이며 하위악성 링크는 또 다른 도메인으로 연결되었다”며 “국내 서비스를 해킹하여 대담하게 악성코드 감염의 중계지로 활용했고 공격에 직접 이용하고 있는 상황”이라고 우려를 표했다.
 
장안대학교 홈페이지에 삽입 된 악성링크에서 내려오는 악성파일은 봇에이전트로 다음과 같은 기능을 수행한다.
1. V3 아이콘에 알약업데이트로 위장
2. C&C서버로 접속 후 명령대기
q1.adobec.com
*인디프로젝트 오픈소스 라이브러리 이용
 
빛스캔 관계자는 “공격자들은 대학사이트에 접속자가 증가하는 시기를 노려서 이를 활용하여, 악성코드 유포가 용이해지기를 기다리며 대학 웹사이트를 미리 해킹해 악성링크를 삽입시켜놓고 접속 자들을 대상으로 감염을 시도하고 있는 것”이라며 “공격자들은 항상 지켜보고 있고 수시로 공격을 시도한다. 방문자가 많은 사이트들은 최소한 1~2일에 한 번씩 변화가 있는지 그리고 손 쉬운 공격에 당할 수 있는 부분들이 없는지 체크해야 하며 관리자가 없는 주말을 틈 타 공격하는 공격자들을 방어하기 위한 사전대응 마련이 필요한 상황”이라고 조언했다.  
 
장안대학교 사이트는 현재 접속만 해도 감염이 되는 악성코드 공격을 받고 있다. 이러한 공격으로부터 보호하기 위해서는 선별적으로 악성링크만을 차단하는 전용장비를 사용해서라도 내부 사용자를 악성코드로부터 보호하고 위험 정보를 상시적으로 확인 함으로써 대비를 해야 할 것이다. 현재 상용화된 장비로는 트라이큐브랩 CubeDefence가 있다.
 
현재 빛스캔은 국내 120만개의 웹 서비스와 해외 10만 여 개의 웹 서비스를 모니터링하며 악성코드 유포에 이용되는 악성링크를 추적하고 있다. 특히 전세계적으로 공격이 매우 극심한 국내의 상황에서 특화된 기술과 역량을 통해 집중적인 노력을 기울이고 있으며 매주 수요일 한주간의 한국 인터넷 위협현황에 대해 카이스트와 공동으로 정보를 제공 하고 있다. 문의는 info@bitscan.co.kr로 하면 된다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com