국가적 재난도 악용…정부 보고서 위장 해킹 '주의보'

이태원참사 관련 등 여러 정부 보고서서 악성코드 발견
기술지원 종료된 인터넷 익스플로러 취약점 노려
"모든 소프트웨어 최신 업데이트 상시 필요"

[아이뉴스24 박진영 기자] 이태원 참사와 같은 국민적 관심이 큰 상황을 악용하는 사이버 공격이 잇따르고 있어 각별한 주의가 요구된다.

북한 해커 관련 이미지. [사진=뉴시스]

30일 한국인터넷진흥원(KISA)가 최근 발표한 '정부 보고서 위장 해킹 메일 공격 상세 보고서'에 따르면, 해커는 다양한 사회적 이벤트와 사고 등의 이슈에 대한 국민적 관심을 악용하고 있다. 정부 부처 홈페이지에 게시된 제목을 모방하고 MS워드 파일에 악성코드를 심어 유포해 피해를 키우는 것이다.

지난해 발생한 '이태원 참사' 관련 정부 보고서가 대표적 사례다. 이태원 참사 직후 행정안전부 홈페이지에 중앙재난안전대책본부(중대본) 보고서로 위장한 '서울 용산 이태원 사고 대처 상황(06시)'이라는 제목의 MS워드 파일이 유포됐고, 정부는 사이버 공격에 대한 주의를 권고했다. 구글 분석 보고서에 따르면, 해당 공격은 북한 해킹 그룹인 APT37의 공격으로 추정된다.

KISA는 이같은 해커의 공격이 인터넷 익스플로러(IE)의 취약점을 악용해 총 3단계에 걸쳐 수행됐다고 분석했다. MS워드 등 악성 문서 파일을 열람할 때 사용자 PC가 공격자 서버로 접속해 악성 서식파일(RTF)을 내려받고, 이후 악성 파일 내에 조작된 인터넷주소(URL)을 통해 공격자 서버에서 악성 HTML 파일을 추가로 내려받게 된다. 워드에서 HTML이 실행되면 문서 내 취약점으로 인해 악성코드가 실행되는 방식이다.

특히 해커는 MS워드 등의 프로그램에서 HTML 파일을 실행할 경우 활용되는 IE 스크립트 엔진(JScript9)의 취약점을 공격한 것으로 분석됐다.

MS는 이 취약점을 확인하고 보안 패치를 내놨지만 MS 오피스 등 일부 소프트웨어에서 HTML 파일을 실행할 때 여전히 비슷한 공격이 발생하는 것으로 알려졌다. 지난해 11월 발견된 '북방한계선(NLL) 문제에 관한 국제법적 검토와.docx' 문서도 비슷한 사례다.

KISA 측은 "구 버전의 소프트웨어와 연계돼 사용할 경우 공격 대상이 될 수 있기 때문에 사용자가 사용하는 모든 소프트웨어에 대해 업데이트를 상시 수행해 최신 버전으로 유지하는 것이 중요하다"고 전했다.

최광희 KISA 사이버침해대응본부장은 "국가적 재난 상황에서도 사이버 공격은 끊임없이 발생하고 있으며, 해커는 이슈를 악용해 공격하기 때문에 사이버 위협 대응에 긴장의 끈을 놓쳐서는 안된다"며 "KISA는 앞으로도 지속적인 사이버 위협 모니터링을 통해 사이버 공격의 선제적 대응에 힘쓰겠다"고 밝혔다.

/박진영 기자(sunlight@inews24.com)