이태원 사고 보고서 위장 '악성 문서' 발견…'리모트 템플릿 인젝션' 공격 기법

사용자 주의 권고…국가안보실·KISA "서버 차단 및 백신 업데이트 완료"

(지디넷코리아=황정빈 기자)지난달 29일 발생한 '이태원 압사 참사' 사고를 악용한 사이버 공격이 등장해 국가안보실과 한국인터넷진흥원이 사용자 주의를 권고했다.

국가안보실은 지난 1일 보도자료를 내고 최근 중앙재난안전대책본부 명의의 공문을 통해 악성코드를 유포한 것으로 의심되는 출처를 차단하고, 국내 보안업체와 협력해 백신 업데이트를 했다고 설명했다.

안보실은 정부와 공공기관을 사칭한 해킹 메일, 관련 영상이나 이미지를 악용한 악성코드 유포 가능성도 커지고 있어 보안 관제를 강화했다.

(사진=이미지투데이)

한국인터넷진흥원(KISA)도 이태원 사고로 인한 혼란을 틈타 정부·공공기관 등을 사칭한 해킹메일, 관련 영상이나 이미지 등을 통한 악성코드 유포가 예상된다며 사이버 공격 시도에 대해 사용자 주의를 요구했다.

보안 업계에 따르면 실제 서울 용산 이태원 사고 대처상황 보고서로 위장한 악성문서가 지난달 31일 구글에서 운영하는 '바이러스 토탈'에서 발견됐다. 이태원 사고 관련 내용이 포함된 이메일 및 문자 메시지를 악용해 악성코드 설치를 유도하는 것으로 알려졌다.

해당 악성문서를 발견한 문종현 이스트시큐리티 이사는 "해커들이 많이 쓰는 공격 기법인 '리모트 템플릿 인젝션'이 해당 문서에 적용됐고, 'MS-오피스.com'이라는 MS오피스로 위장한 가짜 사이트가 통신 서버인 것으로 확인돼 악성 문서로 판단했고 정부와 공조해 서버를 차단했다"고 설명했다.

KISA는 해킹 메일을 예방하기 위해 메일 송신자 주소를 정확히 확인하고, 모르는 이메일 및 첨부파일은 열람하지 말 것을 권고했다. 또한 출처가 불분명한 사이트 주소는 클릭을 자제하고 바로 삭제해 피싱·스미싱을 예방하고, PC 및 스마트폰 보안을 강화할 것을 권고했다.

악성코드 감염 등 피해가 발생했다면, 한국인터넷진흥원 보호나라 누리집으로 즉시 신고하고 '내PC돌보미' 서비스를 신청해 점검받을 수 있다.

황정빈 기자(jungvinh@zdnet.co.kr)