'이태원 참사' 악용한 악성코드 유포…"파일 열 때 조심"

'중대본 보고서 위장 파일' 발견…'워드 문서' 형식
악성 매크로 실행시키는 '원격 템플릿 삽입' 수법

이태원 참사를 악용한 악성코드(구글 바이러스 토탈 홈페이지 갈무리)

(서울=뉴스1) 오현주 기자 = 이태원 참사를 악용한 워드문서 파일 형식의 악성코드가 유포된 것으로 나타났다.

1일 보안업계에 따르면, 구글 백신 엔진 사이트 '바이러스 토탈'에 '서울 용산 이태원사고 대처상황(06시)'이라는 제목의 마이크로소프트(MS) 워드 문서 형식의 악성 파일이 지난달 31일 올라왔다.

구글 '바이러스 토탈'은 전 세계 누리꾼들이 악성코드가 담긴 것으로 보이는 파일을 올리면, 검사를 해주는 플랫폼이다.

공격자는 실제 행정안전부 공식 홈페이지에 올라간 중앙재난안전대책본부(중대본)의 이태원 참사 관련 보고서를 모방한 악성 파일을 유포한 것으로 확인됐다. 아직 정확한 공격 배후는 지목되지 않았다.

먼저, 실제 보고서는 한글(.hwp) 파일이었고, 해커가 만든 악성 파일은 MS 워드 파일이었다.

이 파일에는 해커들이 많이 쓰는 '원격 템플릿 삽입'(Remote Template Injections) 기법도 적용됐다. 외부로부터 악성 매크로를 가져와 실행하는 역할을 한다.

문종현 이스트시큐리티 이사는 "'원격 템플릿 삽입' 기법을 이용해 'ms-offices[.]com'이란 주소에서 파일을 호출하는 기능이 적용됐다"며 "확인해보니 공식 MS 사이트는 아닌 걸로 확인이 돼 악성코드로 판단했다"고 말했다.

공격자가 사회적 이슈를 악용해 해킹을 시도한 것은 이번이 처음은 아니다. 지난달 SK C&C 데이터센터 화재로 카카오 서비스 장애가 있었을 때도 '카카오톡 업데이트 파일'을 사칭한 공격이 있었다.

문 이사는 "해커들이 사회적인 혼란을 틈타 공격 효과를 극대화하려고 했던 것 같다"며 "세월호 참사 때도 관련 내용의 공격이 발생했다"고 말했다.

잇단 공격에 개인 사용자에게는 각별한 주의가 요구된다. 문 이사는 "누군가가 소셜네트워크서비스(SNS)·이메일로 보내는 것들을 열어볼 때 다들 주의할 필요가 있다"며 "(의심스러운 파일을 보면) 과학기술정보통신부 ·한국인터넷진흥원(KISA) 또는 보안업체에 빠르게 신고해야 한다"고 말했다.

한편 개인정보보호위원회는 KISA와 함께 '이태원 참사'와 관련해 11월 한 달간 개인정보 침해 상황에 대한 집중 모니터링을 실시한다.

woobi123@news1.kr