"이태원 사고 대처상황.docx' 열지 마세요"…KISA도 '주의 권고'(종합)

중대본 '이태원 참사 대응 보고서' 위장 악성 문서 발견
'원격 템플릿 삽입' 기법 적용…"출처 불분명 파일 조심"

1일 서울 용산구 이태원역 1번 출구에 마련된 이태원 핼러윈 압사 참사 추모공간에 시민들이 적은 추모 메시지가 붙어 있다. 2022.11.1/뉴스1 ⓒ News1 이승배 기자

(서울=뉴스1) 오현주 기자 = 이태원 참사를 악용한 워드문서 파일 형식의 악성코드가 지난 달 31일 탐지되자 한국인터넷진흥원(KISA)이 1일 사용자 주의를 권고했다.

KISA는 이날 오후 공식입장을 통해 "서울 용산 이태원 사고 대처상황 보고서로 위장한 악성문서가 발견됐다"며 "이태원 사고 관련 내용이 포함된 이메일 및 문자 메시지를 악용해 악성코드 설치 유도가 예상된다"고 말했다.

이어 "사고로 인한 혼란을 틈타 정부·공공기관 등을 사칭한 해킹 메일, 관련 영상이나 이미지 등을 통한 악성코드 유포도 예상된다"며 "사이버 공격에 대한 주의를 권고한다"고 말했다.

◇중대본 '이태원 참사 보고서' 위장 문서 형식의 악성코드 발견…'워드 파일' 형태

KISA가 언급한 '위장 문서'는 전날 구글 백신 엔진 사이트 '바이러스 토탈'에서 발견됐다. 행정안전부 공식 홈페이지에 올라간 중앙재난안전대책본부(중대본)의 이태원 참사 관련 보고서를 모방했다.

구글 '바이러스 토탈'은 전 세계 누리꾼들이 악성코드가 담긴 것으로 보이는 파일을 올리면, 검사를 해주는 플랫폼이다.

이태원 참사를 악용한 악성코드(구글 바이러스 토탈 홈페이지 갈무리)

보안업계에 따르면, 당시 사이트에는 '서울 용산 이태원 사고 대처상황(06시)'이라는 제목의 문서 형식의 악성코드가 올라왔다.

실제 중대본 보고서는 한글(.hwp) 파일이었고, 해커가 만든 악성 파일은 마이크로소프트(MS) 워드 파일이었다.

해당 파일을 열게 되면 시스템이나 컴퓨터가 해커에 의해 원격 조종당할 수 있다. 외부로부터 악성 매크로를 가져와 실행하는 '원격 템플릿 삽입'(Remote Template Injections) 기법이 적용됐기 때문이다. 현재까지 공격 배후는 불분명하다.

문종현 이스트시큐리티 이사는 "'원격 템플릿 삽입' 기법을 이용해 'ms-offices[.]com'이란 주소에서 파일을 호출하는 기능이 적용됐다"며 "확인해보니 공식 MS 사이트는 아닌 걸로 확인이 돼 악성코드로 판단했다"고 말했다.

공격자가 사회적 이슈를 악용해 해킹을 시도한 것은 이번이 처음은 아니다. 지난달 SK C&C 데이터센터 화재로 카카오 서비스 장애가 있었을 때도 '카카오톡 업데이트 파일'을 사칭한 공격이 있었다. 당시 해커는 악성 프로그램을 유포하거나 카카오 장애 관련 문자메시지를 발송, 피싱사이트 로그인을 유도했다.

문 이사는 "해커들이 사회적인 혼란을 틈타 공격 효과를 극대화하려고 했던 것 같다"며 "세월호 참사 때도 관련 내용의 공격이 발생했다"고 말했다.

◇KISA "출처가 불분분명한 사이트 클릭·첨부파일 다운 자제…실제 감염땐 118로 신고"

KISA는 이같은 공격을 막을 수 있는 예방책을 크게 세 가지로 꼽았다.

먼저 해킹 메일 예방법으로는 △송신자 주소 확인·모르는 이메일 및 첨부파일 열람 금지 △출처가 불분명한 메일 첨부파일 다운로드 자제 △메일 내부 클릭 유도 링크 조심 등이 권고됐다.

'피싱·스미싱' 예방 방법와 관련해서는 △출처가 불분명한 사이트 주소 클릭 자제·바로 삭제 △신뢰된 사이트에서만 휴대전화 번호·아이디(ID)·비밀번호(PW) 등 개인정보 입력 △인증번호 입력시 재확인이 꼽혔다.

이와 함께 PC·스마트폰 보안 강화법으로는 운영체제(OS)·자주 사용하는 문서 프로그램 업데이트와 주기적인 바이러스 백신 업데이트·검사가 언급됐다.

또 만약 실제로 악성코드 감염 등 피해가 발생했다면 KISA 보호나라 누리집 또는 국번없이 118로 신고하면 된다.

한편 개인정보보호위원회는 KISA와 함께 '이태원 참사'와 관련해 11월 한 달간 개인정보 침해 상황에 대한 집중 모니터링을 실시한다.

woobi123@news1.kr