국민 슬픔 파고드는 피싱공격…'중대본 보고서' 열지마세요

기사내용 요약
행안부 ‘중대본 보고서’로 위장한 파일로 공격
실제 정상 파일은 한글 파일…위장 파일은 MS 워드
시스템 제어권 탈취하는 ‘원격 템플릿 인젝션’ 수법

[서울=뉴시스] 정병혁 기자 = 1일 오전 서울 용산구 이태원역에 마련된 추모공간을 찾은 시민들이 놓고 간 조화가 놓여 있다. 2022.11.01. jhope@newsis.com

[서울=뉴시스]송종호 기자 = 이태원 참사에 대한 추모 분위기를 악용해 워드문서 파일 형식의 악성코드가 유포된 것으로 나타났다. 최근 사회적 혼란을 틈타 정상 파일로 위장한 피싱 공격이 이어지고 있는 만큼 이용자들의 각별한 주의가 요구된다.

1일 보안업계에 따르면 구글 백신 엔진 사이트 바이러스 토탈에 '서울 용산 이태원사고 대처상황(06시)'이라는 제목의 마이크로소프트(MS) 워드 문서 형식의 악성 파일이 올라왔다.

구글 바이러스 토탈은 인터넷 이용자가 악성코드가 담긴 것으로 보이는 파일을 올리면 이상 유무를 검사 해주는 플랫폼이다.

문제의 파일은 실제 행정안전부 공식 홈페이지에 올라간 중앙재난안전대책본부(중대본)의 이태원 참사 관련 보고서를 모방해 유포한 것으로 확인됐다. 실제 보고서는 한글(.hwp) 파일이었고, 악성 파일은 MS 워드 파일로 확인됐다.

해당 파일을 실행하게 되면 시스템이나 컴퓨터가 해커에 의해 원격 조종당할 수 있다. 문종현 이스트시큐리티 이사는 “파일을 실행하면 외부에서 악성 매크로를 불러와 실행하는 ‘원격 템플릿 인젝션’ 기능이 사용됐다”라고 말했다. 해당 기능은 외부 서버에 있는 파일을 불러올 때 쓰는 것으로, 해커들이 많이 악용하고 있다.

최근 사회적 혼란이 있을 때마다 악성코드를 이용한 사이버 위협이 계속되고 있다. 지난달 SK C&C 데이터센터 화재로 카카오 서비스 장애가 있었을 때도 ‘카카오톡 업데이트 파일’로 위장한 악성코드 공격이 있었다.

문 이사는 “공격자들이 사회적 혼란을 틈타 공격 성공 가능성을 높이려 했던 것”이라며 “평소 정상적으로 주고받은 이메일 등에 첨부된 파일도 계정 도용 가능성을 고려해 주의해야 한다”라고 말했다.

☞공감언론 뉴시스 song@newsis.com