Home > 전체기사
미국 대학 62곳 침해! 교육부와 소프트웨어 개발사는 실랑이
  |  입력 : 2019-07-24 15:23
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
엘루시안이라는 등록, 학사 일정 관리 소프트웨어 개발사가 문제라고 지적돼
엘루시안 측은 “우리 취약점은 익스플로잇이 불가능하며, 이미 패치됐다”고 반박


[보안뉴스 문가용 기자] 해커들이 무려 62개 대학교를 침해하는 데 성공했다. 이들은 엘루시안 배너(Ellucian Banner) 시스템에서 발견된 취약점을 익스플로잇 했다. 이에 대해 미국 교육부가 공식으로 경고를 발령했다.

[이미지 = iclickart]


교육부에 따르면 취약점은 등록, 학과 과정 관리, 자문, 보고 등에 사용되는 배너 웹 테일러(Banner Web Tailor)라는 툴 속에 위치한다고 한다. 학생들은 배너 웹 테일러를 사용해 학과목을 등록하거나 변경하며, 학점을 조회하고, 학자금 서비스 정보를 열람할 수 있다.

여기서 발견된 취약점은 CVE-2019-8978로, SSO 매니저(SSO Manager)를 사용해 웹 테일러에 로그인을 할 때 발동된다. 익스플로잇 될 경우 정보 노출이나 데이터 손상 등의 결과를 야기할 수 있다고 한다.

CVE-2019-8978이 발견된 건 2018년 12월이다. 패치도 비슷한 시점에 나왔었다. 취약점이 있는 것으로 알려진 건 엘루시안 배너 웹 테일러(Ellucian Banner Web Tailor) 8.8.3~8.8.4 버전과 배너 엔터프라이즈 아이덴티티 서비스(Banner Enterprise Identity Services) 8.3, 8.3.1~2, 8.4 버전이다. 그 외 서비스들은 안전한 것으로 알려져 있다.

공격자들이 취약한 시스템에 침투하는 데 성공할 경우 피해자의 세션을 중간에서 가로챌 수 있게 되며, 이를 통해 피해자인 것처럼 배너 시스템에 로그인할 수 있게 된다. 그 다음에는 피해자가 가지고 있는 권한에 따라 다양한 행동들을 실시할 수 있게 된다. 정보를 열람하거나 변경시키는 것이 가장 큰 피해를 야기할 수 있을 것으로 보인다.

교육부는 “현재까지 이 공격에 당한 곳이 62개 대학임을 파악해냈다”고 발표하며, “사이버 범죄자들이 최근 이 취약점을 가지고 있는 시스템을 적극 스캔하고 있다는 정보도 입수했다”고 발표했다. “각 대학 기관이 이 문제를 조속히 해결하지 않을 경우, 피해 기관은 증가할 것”이라며 패치를 촉구하기도 했다.

교육부는 “공격자들이 이 취약점을 통해 접근하는 데 성공할 경우 가상의 학생인 것처럼 가짜 계정을 다량으로 만들 수 있고, 이를 통해 입학 허가 및 등록 절차에서 큰 혼선이 있을 수 있다”고 경고했다.

실제 교육부가 파악한 피해 기관들에서는 최소 600개의 가짜 학생 계정이 발견됐다. 이는 단 하루만에 만들어진 수치로, “공격자의 침투 기간이 길면 길수록 이러한 가짜 계정의 수는 기하급수적으로 늘어날 수 있다.” 가짜 계정은 사이버 범죄자들에게는 매우 유용한 공격 도구가 되며, 방어하는 입장에서는 골치 아픈 요소다.

엘루시안 측은 “교육부의 경고문 중 틀린 내용이 있다”고 반박했다. “이 취약점을 통해 가짜 계정을 만들 수 있다고 했는데, 이는 옳지 않다고 봅니다. 또한 과거에 패치가 됐던 엘루시안 배너 시스템의 취약점과 관계가 없는 문제이며, 엘루시안 시스템을 사용하는 대학 기관들만이 위험한 것도 아닙니다. 또한 배너 웹 테일러 8.9 버전도 이 취약점을 가지고 있지 않습니다.”

엘루시안에 의하면 공격자들은 봇을 사용해 가짜 입학 신청서를 만들어 제출하고, 이러한 과정을 통해 기관 내 중요 이메일 주소들을 확보해간다고 한다. 즉 엘루시안이 있든 없든 공격 성공 가능성은 어느 대학 기관이나 존재한다는 것이다. “취약점이 있는 엘루시안 소프트웨어가 있는 건 사실입니다. 그러한 취약점들은 올해 5월 14일에 전부 패치를 했습니다.”

그러면서 엘루시안은 “아직까지 학생이나 대학 기관이 실제 피해를 입은 사례가 없다”고 주장했다. “패치가 된 취약점은 익스플로잇이 매우 어렵습니다. 실험실 환경이 아니고서야 발동시키고 남용한다는 것이 불가능에 가깝습니다.”

3줄 요약
1. 미국 대학 62곳이 침해됨. 교육부는 이를 조사하면서 엘루시안의 소프트웨어가 문제라고 지적함.
2. 엘루시안 측은 자기들과 상관이 없는 문제며, 엘루시안 소프트웨어에서 발견된 취약점은 전부 해결한 상태라고 반박.
3. 또한 엘루시안은 “우리 소프트웨어의 취약점은 실제로 익스플로잇 하는 게 불가능”이라고 덧붙임.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)