메뉴
BL
Ars Technica 36일 전

최고 명문대 웹사이트서 음란물이 노출되는 이유

IMP
7/10
핵심 요약

UC 버클리, 컬럼비아 대학 등 세계적인 명문 대학 웹사이트의 하위 도메인이 해커들에 의해 악용되어 포르노 및 악성 사기 콘텐츠를 띄우고 있습니다. 사건의 핵심 원인은 대학 내 부서나 연구실에서 도메인을 폐지할 때 관련 DNS 레코드를 삭제하지 않는 '허술한 관리' 때문입니다. 이는 검색 엔진 최적화(SEO)를 악용해 신뢰도 높은 대학 도메인을 해킹하는 사이버 범죄에 대한 각 기관의 DNS 자산 관리 및 보안 감사 중요성을 시사합니다.

번역된 본문

최근 한 연구원의 조사에 따르면, 세계적으로 가장 권위 있는 일부 대학 웹사이트가 사기꾼들에 의해 explicit(노골적인) 포르노와 악성 콘텐츠를 제공하고 있는 것으로 밝혀졌습니다. 이는 사이트 관리자들의 허술한 기록 관리를 악용한 것입니다. 문제가 된 사이트에는 캘리포니아 대학교 버클리(University of California, Berkeley), 콜롬비아 대학교(Columbia University), 세인트루이스 워싱턴 대학교(Washington University in St. Louis)의 공식 도메인인 berkeley.edu, columbia.edu, washu.edu가 포함되어 있습니다.

hXXps://causal.stat.berkeley.edu/ymy/video/xxx-porn-girl-and-boy-ej5210.html, hXXps://conversion-dev.svc.cul.columbia[.]edu/brazzers-gym-porn, hXXps://provost.washu.edu/app/uploads/formidable/6/dmkcsex-10.pdf 와 같은 하위 도메인(subdomain)들이 바로 그것입니다. 이 하위 도메인들은 모두 노골적인 포르노 콘텐츠를 전달하며, 최소 한 건의 경우 방문자의 컴퓨터가 감염되었다고 거짓으로 주장하고 존재하지 않는 악성 코드 제거 비용을 지불하라고 유도하는 사기 사이트로 연결되었습니다.

연구원 알렉스 샤호프(Alex Shakhov)는 최소 34개 대학의 수백 개 하위 도메인이 악용되고 있다고 밝혔습니다. 구글의 검색 결과에는 수천 개의 탈취된 페이지가 노출되고 있습니다.

대학의 명성을 훔치는 해커들

SH 컨설팅(SH Consulting)의 연구원인 샤호프는 사기꾼들이(별도의 연구원이 이들을 '헤이지 호크(Hazy Hawk)'로 추적되는 알려진 그룹과 연결시켰습니다) 영향을 받은 대학의 사이트 관리자들이 저지른 일종의 행정적 실수를 악용하고 있다고 말했습니다. 관리자들이 provost.washu.edu와 같은 하위 도메인을 신규로 구축할 때, 하위 도메인을 호스팅하는 IP 주소에 URL을 할당하는 CNAME 레코드(CNAME record)를 생성하게 됩니다. 그러나 여러 가지 이유로 빈번하게 발생하는 하위 도메인 폐지 시, 이 레코드가 결코 제거되지 않는 문제가 발생합니다.

헤이지 호크와 같은 사기꾼들은 이 틈을 타서 기존 URL의 기반에 있던 만료된 도메인 이름을 새로 등록합니다. 이로써 그들은 해당 대학의 하위 도메인을 탈취하게 됩니다. 대학들이 가진 명성 덕분에, 검색 쿼리는 구글 검색 결과의 상단에 표시되며 많은 트래픽을 유도하게 됩니다.

샤호프는 다음과 같이 작성했습니다: "근본 원인은 간단합니다. 조직에서는 DNS 레코드를 생성하지만 이를 결코 정리하지 않는다는 것입니다. CNAME 레코드에는 만료일이 없습니다. 대상(타겟)이 응답을 멈춰도 아무에게도 어떠한 알림도 가지 않습니다. 게다가 대부분의 대학 IT 부서는 자사의 하위 도메인과 그것이 가리키는 위치에 대한 포괄적인 인벤토리(목록)를 유지 관리하지 않습니다."

이 문제는 대학의 운영 방식, 즉 매우 분권화되어 있다는 점 때문에 더욱 악화됩니다. 개별 부서, 연구실, 연구 그룹 및 학생 단체에서 독립적으로 하위 도메인을 요청할 수 있는 경우가 많습니다. 담당자가 퇴사하거나 떠나더라도 그들이 생성한 DNS 레코드에 대한 폐기 절차가 존재하지 않습니다.

탈취된 하위 도메인을 찾는 것은 아주 간단합니다. 영향을 받은 기관의 경우 검색창에 site:[university].edu "xxx" 또는 site:[university].edu "porn"만 입력하면 수많은 검색 결과가 나타납니다. 일부 하위 도메인은 더 이상 포르노 사이트로 연결되지 않지만, 금요일 오전 기준으로 여전히 많은 수가 포르노 사이트로 연결되었습니다.

여기서 얻을 수 있는 교훈은 명확합니다. 웹사이트를 운영하는 모든 조직은 모든 하위 도메인의 용도와 해당 CNAME 레코드를 지속적으로 추적하는 인벤토리를 구축해야 합니다. 그런 다음 담당자는 공식 하위 도메인이 더 이상 사용되지 않더라도 남아있는 이른바 '고아(Dangling) 레코드'를 찾기 위해 정기적으로 이 목록을 감사해야 합니다. 비활성 상태인 하위 도메인은 CNAME을 즉시 제거해야 합니다.

분명히 많은 대학과 기타 조직들이 이러한 상식적인 보안 실무를 무시하고 있습니다. 샤호프는 이번 달 초 자신의 조사 결과를 공개한 이후 영향을 받은 대학 중 극소수만이 고아 CNAME 레코드를 삭제했다고 밝혔습니다. 그마저도 그 중 여러 대학이 구글에서 해당 URL의 색인을 삭제하는 데 실패했습니다. 그 결과, 검색 결과에서 해당 인덱싱된 페이지들이 계속해서 노출되고 있습니다.

본 기사 출판 전 UC 버클리, 콜롬비아 대학교 및 워싱턴 대학교에 보낸 취재 요청에 대해서는 답변을 받지 못했습니다.

  • 댄 구딘(Dan Goodin) 수석 보안 에디터
원문 보기
원문 보기 (영어)
Text settings Story text Size Small Standard Large Width * Standard Wide Links Standard Orange * Subscribers only Learn more Minimize to nav Websites for some of the world’s most prestigious universities are serving explicit porn and malicious content after scammers exploited the shoddy record-keeping of the site administrators, a researcher found recently. The sites included berkeley.edu, columbia.edu, and washu.edu, the official domains for the University of California, Berkeley, Columbia University, and Washington University in St. Louis. Subdomains such as hXXps://causal.stat.berkeley.edu/ymy/video/xxx-porn-girl-and-boy-ej5210.html, hXXps://conversion-dev.svc.cul.columbia[.]edu/brazzers-gym-porn, and hXXps://provost.washu.edu/app/uploads/formidable/6/dmkcsex-10.pdf. All deliver explicit pornography and, in at least one case, a scam site falsely claiming a visitor’s computer is infected and advising the visitor to pay a fee for the non-existent malware to be removed. In all, researcher Alex Shakhov said, hundreds of subdomains for at least 34 universities are being abused. Search results returned by Google list thousands of hijacked pages. Hijacking a university’s good name Shakhov, a researcher at SH Consulting, said that the scammers—which a separate researcher has linked to a known group tracked as Hazy Hawk —are seizing on what amounts to a clerical error by site administrators of the affected universities. When they commission a subdomain such as provost.washu.edu, they create a CNAME record, which assigns a URL to the IP address hosting the subdomain. When the subdomain is eventually decommissioned—something that happens frequently for various reasons—the record is never removed. Scammers like Hazy Hawk then swoop in by registering the expired domain name at the base of the old URL. With that, they have now hijacked that university’s subdomain. Given the reputations universities have, search queries then flow to the top of Google’s results. Shakhov wrote : The root cause is simple: organizations create DNS records and never clean them up. There is no expiry date on a CNAME record. Nobody gets an alert when the target stops responding. And most university IT departments don’t maintain a comprehensive inventory of their subdomains and where they point. This is compounded by how universities operate—they are highly decentralized. Individual departments, labs, research groups, and student organizations can often request subdomains independently. When people leave, there is no decommissioning process for the DNS records they created. Finding hijacked subdomains is straightforward. People need only enter site:[university].edu “xxx” or site:[university].edu “porn” for an affected institution, and scores of results will appear. In some cases, the subdomains returned no longer lead to porn sites, but as of Friday morning, many still did. The lesson here is clear: Any organization with a website should compile a running inventory of all subdomains along with the purpose of each one and its corresponding CNAME record. Then staff should regularly audit the list in search of “dangling” records, meaning those that remain even after the official subdomain has gone dark. Any subdomain found to be inactive should have its CNAME removed. Clearly, many universities and other organizations are flouting this common-sense practice. Shakhov said only a handful of the affected universities have expunged dangling CNAME records since he went public with his findings earlier this month. Even then, several of them have failed to get the URLs delisted by Google. That results in the indexed remaining visible in search results. Inquiries sent to UC Berkeley, Columbia, and Washington University didn’t receive responses before publication. Dan Goodin Senior Security Editor Dan Goodin Senior Security Editor Dan Goodin is Senior Security Editor at Ars Technica, where he oversees coverage of malware, computer espionage, botnets, hardware hacking, encryption, and passwords. In his spare time, he enjoys gardening, cooking, and following the independent music scene. Dan is based in San Francisco. Follow him at here on Mastodon and here on Bluesky. Contact him on Signal at DanArs.82. 15 Comments
보안 취약점 DNS 탈취 사이버 범죄 하위 도메인 관리 SEO 스팸