EBS 홈피 접속시 악성코드 유포하는 다른 사이트로 강제 이동시켜
강제 이동되는 웹페이지, 대량 경유지가 탐지된 유포지 TOP 10 ‘악명’
수많은 학생들과 직장인들 애용, 피해규모에 대한 빠른 조사 이루어져야

[보안뉴스 원병철 기자] EBS 홈페이지가 해킹 공격을 받아 악성코드 경유지로 악용된 사실이 드러났다. 이미 EBS는 2012년 메인사이트 침해 사고를 통해 400만 건의 개인정보가 유출됐던 적이 있어 이번 공격으로 인한 추가 피해 우려가 커지고 있다.


한 제보자에 따르면 EBS 홈페이지를 평소 사용하던 네이버 웨일 웹브라우저에서 열려고 하자 ‘접속하려는 사이트에서 멀웨어를 감지했습니다.’라는 문구와 함께 접근이 차단됐다. F12 버튼을 이용해 개발자 도구를 열어 ‘Elements’ 항목을 보자 ‘s1.cawjb.com/kr.js’ 페이지로 이동시키는 것을 확인할 수 있었다.

이와 관련 한 보안전문가는 이번 사건이 EBS 웹사이트에 리다이렉션 스크립트를 심어 사용자가 원하지 않는 웹사이트로 강제로 이동시킨 뒤, 해당 웹사이트에서 ‘드라이브 바이 다운로드(Drive by Download)’ 방식으로 악성코드를 유포했을 가능성을 언급했다.


이번 공격에서 악성코드 유포지로 활용된 ‘s1.cawjb.com/kr.js’는 지난 2010년 박근혜 前 대통령의 국회의원 시절 홈페이지에 대한 ‘SQL 인젝션’ 공격 당시 악성코드 유포지였던 곳이다. 특히, 한국인터넷진흥원의 ‘악성코드 은닉사이트 탐지동향 보고서’에서 대량 경유지가 탐지된 유포지 TOP 10(2015년 1월)’에 선정될 정도로 많은 공격에 사용된 곳이기도 하다.

특히, ‘s1.cawjb.com’는 국내용인 ‘s1.cawjb.com/kr.js’와 국외용인 ‘s1.cawjb.com/s.js’은 수십~수백만 건의 악성코드 유포지로 사용되고 있으며, 실제로 구글 검색만 해봐도 스크립트 된 ‘s1.cawjb.com’ 주소를 쉽게 찾아볼 수 있다.

현재 EBS 홈페이지는 정상적으로 접근이 가능하지만, 악성코드 유포지인 ‘s1.cawjb.com’은 구글 웹브라우저나 네이버 웨일 웹브라우저에서 멀웨어 유포를 이유로 차단하고 있다.

이번 EBS 홈페이지 공격사건은 아직 조사가 진행되지 않아 얼마만큼의 피해를 입었는지 사실 확인이 되지 않은 상태지만, 수많은 개인정보를 보유하고 있는 데다가 각종 강좌를 듣기 위해 학생과 직장인들이 수시로 이용하고 있는 만큼 빠르고 정확한 조사가 시급한 상황이다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>