이 판국에 이런 짓을…‘이태원 사고 대처상황’ 문서 위장한 악성 파일 기승

정부 배포 문서는 한글(.hwp) 파일이나 악성 문서는 워드(.docx) 파일

‘바이러스 토탈’ 홈페이지 화면. 파일을 올리면 안전성 검사를 실시한다. 바이러스 토탈 홈페이지 캡처

 
지난달 29일 오후 서울 용산구 이태원동에서 발생한 대규모 압사 참사로 정부가 수습에 돌입한 가운데, 사고 대처문으로 위장한 악성코드 문서가 시중에 유포되고 있어 주의가 요구된다.

이달 1일 보안 업계 관계자들에 따르면 구글의 백신 엔진 플랫폼 ‘바이러스 토탈’에 지난달 31일 ‘서울 용산 이태원 사고 대처상황(06시)’이라는 제목의 마이크로소프트(MS) 워드(.docx) 파일이 게시됐다. 이 플랫폼은 파일을 접한 세계 네티즌들이 악성코드를 담은 것으로 의심되는 파일을 올리면 안전성 검사를 실시한다.

이 파일은 대한민국 행정안전부 홈페이지에서 게재중인 중앙재난안전대책본부(중대본) 보고서로 위장한 악성 파일로 확인됐다. 

실제 보고서는 한글(.hwp) 파일로 게시됐으나, 악성 파일은 MS 워드로 작성된 것이 차이점이다.

이에 대해 온라인 보안업체 이스트시큐리티의 문종현 시큐리티대응센터(ESRC) 센터장은 “(악성) 파일을 실행하면 외부에서 악성 매크로를 불러와 실행하는 ‘원격 템플릿 인젝션’ 기능이 사용됐다”면서 “이 기능은 외부 서버에 있는 파일을 불러올 때 유용하게 쓰이지만 해커들이 많이 악용하기도 한다”고 설명했다.

문 센터장에 따르면 그간 세월호 참사 등 국내 대형 사고가 발생한 직후에는 이를 악용한 악성코드 공격이 극성을 부려 왔다.

그는 “사회적 혼란 관련 이슈는 사람들의 호기심을 유발할 수 있기에 해커들이 곧잘 악용한다”면서 “얼마 전 ‘카카오[035720] 장애’ 사태 당시에도 카카오톡 업데이트 파일을 사칭한 공격이 있었다”고 밝혔다.

문 센터장은 “이태원 참사와 관련한 파일을 사회관계망서비스(SNS)나 이메일을 통해 받았을 경우 열람해서는 안된다. 모르는 사람은 물론 지인에게 받은 것도 계정 도용을 통한 것일 수 있기 때문에 주의해야 한다”면서 “보안 업체나 정부 기관에 신고해 확인하는 작업이 필요하다”고 첨언했다.

정재우 온라인 뉴스 기자 wampc@segye.com