'이태원 참사' 악용하는 해커들…8년 전 '세월호'도 표적이었다

홍효진 기자 2022. 11. 3. 07:00
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기

지난 1일 서울 용산구 원효로 다목적 실내체육관에 마련된 이태원 사고 관련 유실물 센터에 이태원 참사 현장에서 수거한 신발이 놓여져 있다. /사진=공동취재사진

지난 1일 서울 용산구 원효로 다목적 실내체육관에 마련된 이태원 사고 관련 유실물 센터에 이태원 참사 현장에서 수거한 신발이 놓여져 있다. /사진=공동취재사진
300명 이상의 사상자가 발생한 '이태원 참사' 관련 정부 문서를 위장한 악성 해킹공격이 발견됐다. 8년 전 '세월호 참사' 때와 마찬가지로 사회적 주목도가 높은 사건·사고를 악용한 해킹 사례가 반복되는 것이다. 보안 전문가들 사이에선 이를 대형 해킹 공격의 전조일 수 있으며 사전 대응수준을 높여야한다는 목소리가 크다.
국가적 슬픔 파고든 해커…'이태원 참사' 노린 악성공격 발견

구글의 통합 백신 엔진 플랫폼 '바이러스 토탈'에 이태원 참사 관련 중대본 보고서를 악용한 악성 파일이 올라왔다. /사진=바이러스 토탈

구글의 통합 백신 엔진 플랫폼 '바이러스 토탈'에 이태원 참사 관련 중대본 보고서를 악용한 악성 파일이 올라왔다. /사진=바이러스 토탈
앞서 이태원 참사 발생 이틀만인 지난달 31일, 구글의 통합 백신 엔진 플랫폼 '바이러스 토탈'에 '서울 용산 이태원 사고 대처상황(06시)'이란 제목의 마이크로소프트(MS) 워드 문서 파일이 올라왔다. 문제의 파일은 실제 행정안전부 홈페이지에 올라온 중앙재난안전대책본부(중대본) 보고서로 위장한 악성파일로 최종 확인됐다. 중대본 보고서 양식은 한글 파일이었으나 악성파일은 MS 워드 파일로 문서 포맷이 변경됐다.

이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 악성파일은 외부에서 악성 매크로를 불러 실행하는 '원격 템플릿 삽입' 수법이 사용됐다. 파일은 MS의 공식 웹사이트로 위장한 웹사이트(ms-offices[.]com)와 연결돼 있던 것으로 확인됐다. 이 웹사이트는 최근 중국에 도메인 주소가 등록된 사이트로, 현재는 한국인터넷진흥원(KISA)을 통해 국내 접속이 차단된 상태다. 공격 배후는 아직 확인되지 않았다.

KISA는 공격 확인 직후 홈페이지 보안공지를 통해 "사고로 인한 혼란을 틈타 정부·공공기관 등을 사칭한 해킹 메일, 관련 영상 및 이미지 등을 통한 악성 코드 유포가 예상된다"며 "이메일 첨부 파일 중 출처가 불분명한 파일 다운로드와 사이트 주소 클릭을 자제해달라"고 당부했다.

문종현 ESRC 센터장(이사)은 "이태원 참사 애도 기간인데다 국민적 관심도가 높은 이슈인 만큼 이를 악용하는 해커들이 있을 수 있다"며 "특정 파일을 내려받을 때는 공식 웹사이트를 통하는 것이 피해를 최소화할 수 있는 방법"이라고 말했다.
8년 전 '세월호 참사' 악용한 공격도…'국가적 이슈' 노린다

2014년 4월17일 당시 미래창조과학부(현 과학기술정보통신부)는 한국인터넷진흥원(KISA)과 함께 세월호 침몰사고를 사칭한 스미싱 문자가 발송되고 있다며 보도자료를 배포했다. 사진은 언론사를 사칭한 세월호 침몰사고 동영상 사칭 스미싱 문자. /사진=과학기술정보통신부

2014년 4월17일 당시 미래창조과학부(현 과학기술정보통신부)는 한국인터넷진흥원(KISA)과 함께 세월호 침몰사고를 사칭한 스미싱 문자가 발송되고 있다며 보도자료를 배포했다. 사진은 언론사를 사칭한 세월호 침몰사고 동영상 사칭 스미싱 문자. /사진=과학기술정보통신부
이 같은 대형 사건·사고를 노린 해킹 공격은 반복되는 양상이다. 지난달 데이터센터 화재로 인한 카카오 서비스 먹통 사태 때도 마찬가지로 피싱 이메일이 발송되는 등 해킹 이슈가 있었다. '사회공학적 기법'으로 불리는 이 같은 공격 방식은 사회적 관심도가 높은 사안을 악용해 피해 대상자를 쉽게 현혹한다. 민감한 이슈로 상대의 심리를 자극하기 때문에 해커 입장에선 공격 효율성과 성공률을 극대화할 수 있다.

2014년 4월, 단원고 학생 등 사망자 304명과 142명의 부상자가 발생한 '세월호 참사' 당시에도 개인정보 유출 등 해킹이 빈번했다.

실제 참사가 벌어진 당해 6월, 스미싱 조직에 가담한 17세(당시 연령) 남성이 세월호 뉴스 속보 문자로 위장해 6000만건의 개인정보를 탈취한 혐의로 구속됐다. 이밖에도 참사 관련 정부 음모론을 내세우는 피싱 사이트 주소가 SNS를 통해 유포된 바 있다. 네이버(NAVER) 홈페이지를 사칭한 사이트에 계정 정보를 입력하면 해커에게 전송되는 방식으로 개인정보를 유출했다.

보안 전문가들 이처럼 반복되는 해킹 사례가 대형 사이버 공격 징후일 수 있다고 우려한다. 문 센터장은 "공공기관의 해킹 사례 모니터링을 강화하고 적극적으로 대응할 수 있는 체계가 갖춰져야 한다"며 "대형 사건이 터지기 전에는 사소한 징후들이 보이는데, 이번 이태원 참사 관련 해킹도 그런 사례일 수 있다. 대형 사이버 공격 가능성을 열어두고 사전 조치를 준비해야 한다"고 강조했다.

염흥열 순천향대 정보보호학과 교수는 "이렇게 악성코드를 심는 방식을 이용해 특정 기관 공격에 성공하면, 운영체계가 유사한 다른 기관까지 연쇄적으로 노리는 상황이 벌어질 수 있다"며 "발견되는 악성코드를 신속하게 정보 공유해 공격이 번지는 것을 방지하고 복구 훈련을 체계화할 필요가 있다"고 말했다.

[관련기사]☞ '음주운전' 김새론, SNS에 그림·담배 포착→삭제…왜?손흥민, 얼굴 퉁퉁 부어 눈도 못 떴는데…"수술 안 한다" 왜?풍자 "내 방송 꼴 보기 싫어하는 父, 집·외제차 선물했더니…""외박 그만해" 도경완 훈수에…장윤정 "무슨 소리냐" 발끈김원효·이상훈, 故 박지선 2주기 추모 "그립다 멋쟁이 희극인"
홍효진 기자 hyost@mt.co.kr

<저작권자 ⓒ '돈이 보이는 리얼타임 뉴스' 머니투데이, 무단전재 및 재배포 금지>

Copyright © 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지

이 기사에 대해 어떻게 생각하시나요?
머니투데이에서 직접 확인하세요. 해당 언론사로 이동합니다.