수백 개의 서브도메인. 34개 대학. 버클리, 컬럼비아 같은 명문대의 구글 검색 결과에서 노골적인 포르노가 튀어나온다는 이야기다.
이것은 연구자 알렉스 샤코프가 밝혀낸 사실로, 사기꾼들이 명문 .edu 도메인을 디지털 홍등가로 둔갑시키고 있다는 것이다.
엉성한 기록 관리는 시작에 불과하다.
대학의 명성을 악용한 범죄
Hazy Hawk와 연관된 것으로 보이는 사기꾼들은 금고를 부수거나 학장에게 피싱을 시도하는 것이 아니다. 그저 버려진 DNS 흔적을 주워 담을 뿐이다.
사이트 관리자가 provost.washu.edu 같은 서브도메인을 만들고, CNAME 기록을 통해 특정 도메인을 지정했다고 치자. 프로젝트는 끝났고, 서브도메인은 폐기된다. 하지만 해당 레코드는? 마치 어제의 피냐타 끈처럼 덜렁 남겨진다.
이제 기회를 노리는 자들이 나타난다. 그들은 잊혀진 해당 도메인을 등록하고, 짠! 이제 그들은 번지르르한 .edu 서브도메인을 통해 브라더스(Brazzers) 헬스장 포르노나 PC 감염을 알리는 사기 PDF를 서비스한다.
샤코프는 정확히 지적한다: “provost.washu.edu와 같은 서브도메인을 만들 때, CNAME 레코드를 생성하여 서브도메인을 ‘정식(canonical)’ 도메인에 할당합니다. 서브도메인이 결국 폐기될 때—여러 이유로 자주 발생하는 일인데—해당 레코드는 삭제되지 않습니다.”
“Hazy Hawk와 같은 사기꾼들이 기존 레코드를 탈취하기 위해 몰려듭니다. 이를 통해 그들은 해당 대학의 서브도메인을 가로채는 것입니다.”
구글의 알고리즘이 나머지를 처리한다. .edu 도메인은 권위를 상징하기 때문이다. 수천 개의 페이지가 색인된다. 통계나 인과 관계 추론을 캐주얼하게 검색하면? causal.stat.berkeley.edu의 xxx-porn-girl-and-boy-ej5210.html로 바로 연결된다.
참으로 품격 있군.
대학 명성에 이것이 왜 중요한가?
대학은 명성으로 먹고 산다. 수 세기에 걸친 명성이 도메인 이름에 담겨 신뢰를 상징한다. 그런데 지금? 그들의 서브도메인은 가짜 악성코드 경고와 노골적인 비디오를 팔아넘기고 있다.
한 예로, hXXps://conversion-dev.svc.cul.columbia[.]edu/brazzers-gym-porn을 보자. 컬럼비아의 공학적인 분위기가 뒤틀렸다.
아니면 hXXps://provost.washu.edu/app/uploads/formidable/6/dmkcsex-10.pdf — 총장실 파일 경로지만, 포르노다.
입학 정보를 검색하는 학부모? 총장 업데이트를 확인하려는 기부자? 그들은 여기에 빠진다. 명성에 흠집이 가는 것이다.
이것은 국지적인 문제가 아니다. 버클리 통계학과, 컬럼비아 서비스, 워싱턴 대학교(WashU) 관리 도구—모두 오염되었다. 샤코프는 최소 34개 기관을 파악했으며, 구글은 수천 건의 오염된 검색 결과를 보여주고 있다.
이것은 정교한 사이버 범죄가 아니다. 게으름이 무기화된 것이다. 관리자들이 서버나 캠페인을 폐기한 후 DNS 항목 삭제를 잊는 것이다. 대규모 IT 부서에서는 흔한 일이다. 하지만 대학은 광범위한 부서와 순환하는 직원들 때문에 혼란이 증폭된다.
쓰디쓴 진실이 있다: 이 기관들은 세계 엘리트를 교육하지만, 젠장, DNS 레코드 하나 삭제하지 못한다. 마치 범죄가 창궐하는 동안 페라리 열쇠를 시동에 꽂아두는 것과 같다.
Hazy Hawk 연관성
별도의 연구자들은 이를 도메인 탈취로 유명한 Hazy Hawk 그룹과 연결한다. 국가 지원 해커나 엘리트 해커가 아닌—그저 만료되거나 버려진 등록 정보를 냄새 맡는 사기꾼들이다.
그들은 오래된 CNAME이 가리키는 정식 도메인에 둥지를 튼다. 합법적이고, 저렴하며, 효과적이다. 대학들은 자신들의 서브도메인이 저속한 내용으로 연결되는 것을 뒤늦게 알게 된다.
SH Consulting의 창립자인 샤코프는 berkeley.edu, columbia.edu, washu.edu 등 수십 개에서 이러한 패턴을 발견했다. 그의 보고서는 각성제가 되어야 하지만, 예상대로 ‘악당’을 탓하는 보도 자료와 함께 IT 팀은 허둥지둥할 것이다.
기업식 홍보가 이어질 것이다.
대학들은 근본 원인—DNS 위생의 체계적인 부실—을 인정하지 않을 것이다. 희생자인 척하는 것이 더 쉽다.
이것은 대학만의 문제인가, 아니면 모두의 문제인가?
착각하지 마라. 서브도메인을 가진 모든 조직이 이 문제를 겪는다. 전자상거래 사이트, 은행, 심지어 기술 대기업조차 불안정한 DNS를 가지고 있다.
하지만 대학은 .edu가 SEO를 높여주기 때문에 더 큰 타격을 입는다. 사기꾼들은 후광 효과를 사랑한다—‘인과 통계 버클리’ 검색은 포르노나 사기로 트래픽을 보낸다.
하나의 독특한 통찰: 이는 2010년대 서브도메인 탈취 붐과 유사하다. 당시 Sublist3r와 같은 도구가 AWS S3 버킷에서 수천 건의 탈취를 드러냈다. 그때는 클라우드 설정 오류였지만, 지금은 DNS 표류다. 아무도 배우지 않기 때문에 역사는 반복된다.
대담한 예측: 자동화된 DNS 감사—버려진 CNAME을 스캔하는 도구—없이는 국가 단위의 공격자들이 이 파티에 합류하여 .edu를 피싱 자격 증명 농장으로 사용할 것이다.
대학이 지금 당장 해야 할 일
레코드를 삭제하라. 전부 다.
모든 CNAME을 감사하라. dnsdumpster나 Subjack과 같은 도구는 고아 레코드를 빠르게 찾아낼 수 있다.
정책을 시행하라: DNS 정리 없이는 폐기 금지. 스크립트화하고, 자동화하라.
구글의 안전 브라우징이 도움이 되지만, 색인 해제에는 시간이 걸린다—사기꾼들은 어차피 회전한다.
그리고 직원을 교육하라. 순환하는 관리자들은 잊혀진 프로세스를 의미한다. 체크리스트를 의무화하라.
대학은 명성 브랜드에 수백만 달러를 쓴다. DNS 위생에 약간의 돈을 들이면 체면을 살릴 수 있다.
자동화되지 않았다는 것이 한심할 따름이다.
더 넓은 보안 교훈
이것은 기술계가 외면하고 싶어하는 진실을 드러낸다: 대부분의 침해는 제로데이 공격이나 APT가 아니다. 설정 오류, 잊혀진 키, 게으른 정리다.
샤코프의 발견은 우리에게 상기시킨다—운영 보안은 기본부터 시작한다. 엘리트 도메인이 어리석음으로부터 면역시켜주지는 않는다.
사기꾼들은 그것을 먹고산다. 그리고 구글의 색인은 파티를 계속 이어간다.
DNS나 고치시지, 달걀머리 여러분. 아니면 강의 계획서와 함께 포르노를 계속 서비스하시든가.
🧬 관련 인사이트
- 더 읽어보기: Kasetto, Rust 기반 선언형 마법으로 AI 에이전트 엉망진창 정리
- 더 읽어보기: 패키지 관리자란 무엇인가?
자주 묻는 질문
대학 서브도메인이 포르노를 서비스하는 원인은 무엇인가요?
서브도메인 폐기 후 CNAME DNS 기록을 잊어버려, 사기꾼들이 연결된 도메인을 등록하고 트래픽을 탈취할 수 있게 됩니다.
DNS 서브도메인 탈취 피해를 입은 대학은 어디인가요?
최소 34곳으로, UC 버클리(berkeley.edu), 컬럼비아(columbia.edu), 세인트루이스 워싱턴 대학교(washu.edu) 등을 포함하며 수백 개의 서브도메인이 영향을 받았습니다.
사기꾼들은 어떻게 불안정한 DNS 레코드를 악용하나요?
오래된 CNAME의 정식 도메인을 등록하여 대학 서브도메인을 포르노, 사기 등에 사용할 수 있게 되며, 이는 .edu SEO 덕분에 더 잘 노출됩니다.
