슬픈 마음마저 파고든 해커…'이태원 대처상황' 파일 열었다가 감염

지난 29일 밤 서울 용산구 이태원 한복판에서 심정지 환자가 대규모로 발생했다. 3년 만에 첫 '야외 노마스크' 핼러윈을 맞아 인파가 몰리면서 대규모 압사사고가 일어난 것으로 추정된다. 소방청은 이날 오후 11시13분 이태원에서 압사 추정 사고가 발생함에 따라 대응 3단계로 격상한다고 밝혔다. 사진은 30일 사고가 발생한 서울 용산구 이태원 사고현장에서 경찰 및 소방구급 대원들이 현장을 수습하고 있는 모습. /사진=뉴스1

'이태원 참사' 관련 정부 보고서를 악용한 문서 파일 형태의 악성코드가 발견돼 주의가 요구된다.

1일 보안업계에 따르면 구글의 보안 서비스 플랫폼 '바이러스 토탈'에 전날 '서울 용산 이태원 사고 대처상황(06시)'이라는 제목의 마이크로소프트(MS) 워드 파일이 올라왔다. 이 플랫폼은 전 세계 누리꾼들이 바이러스가 의심되는 파일을 올리면 안랩 (69,100원 0.00%)의 'V3', 이스트시큐리티의 '알약' 등 사이버 백신 프로그램을 이용해 안전성을 검사해주는 종합 백신 엔진 플랫폼이다.

문제의 파일은 실제 행정안전부 홈페이지에 올라온 중앙재난안전대책본부(중대본) 보고서로 위장한 악성파일로 최종 확인됐다. 실제 보고서 양식은 한글 파일로 업로드됐지만 악성파일은 MS 워드 파일이었다. 이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 해당 악성파일은 외부에서 악성 매크로를 불러 실행하는 '원격 템플릿 삽입' 수법이 사용됐다.

문종현 ESRC 센터장은 "기존 한글 문서 원본을 누군가가 워드 문서로 변환하면서 악의적인 기능을 삽입한 것으로 볼 수 있다"며 "이후 MS의 공식 웹사이트처럼 위장한 웹사이트(ms-offices[.]com)와 연결돼 있던 것으로 확인됐다"고 말했다. 문 센터장에 따르면 해당 웹사이트는 최근 중국에 도메인 주소가 등록된 사이트로, 현재 한국인터넷진흥원(KISA)을 통해 국내 접속이 차단된 상태다.

문 센터장은 "이태원 참사 애도 기간이고 관련 뉴스가 이어지고 있어 국민적 관심도가 높은 이슈인 만큼 이를 악용하는 해커들이 있을 수 있다"며 "공식 문서는 반드시 공식 홈페이지에서 내려받고 개인 SNS(사회관계망서비스)나 이메일을 통해 전달받은 파일은 가급적 열어보지 않는 게 중요하다"고 당부했다.