
1일 보안업계에 따르면 구글의 보안 서비스 플랫폼 '바이러스 토탈'에 전날 '서울 용산 이태원 사고 대처상황(06시)'이라는 제목의 마이크로소프트(MS) 워드 파일이 올라왔다. 이 플랫폼은 전 세계 누리꾼들이 바이러스가 의심되는 파일을 올리면 안랩 (94,300원 ▼1,100 -1.15%)의 'V3', 이스트시큐리티의 '알약' 등 사이버 백신 프로그램을 이용해 안전성을 검사해주는 종합 백신 엔진 플랫폼이다.
문제의 파일은 실제 행정안전부 홈페이지에 올라온 중앙재난안전대책본부(중대본) 보고서로 위장한 악성파일로 최종 확인됐다. 실제 보고서 양식은 한글 파일로 업로드됐지만 악성파일은 MS 워드 파일이었다. 이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 해당 악성파일은 외부에서 악성 매크로를 불러 실행하는 '원격 템플릿 삽입' 수법이 사용됐다.
문종현 ESRC 센터장은 "기존 한글 문서 원본을 누군가가 워드 문서로 변환하면서 악의적인 기능을 삽입한 것으로 볼 수 있다"며 "이후 MS의 공식 웹사이트처럼 위장한 웹사이트(ms-offices[.]com)와 연결돼 있던 것으로 확인됐다"고 말했다. 문 센터장에 따르면 해당 웹사이트는 최근 중국에 도메인 주소가 등록된 사이트로, 현재 한국인터넷진흥원(KISA)을 통해 국내 접속이 차단된 상태다.
문 센터장은 "이태원 참사 애도 기간이고 관련 뉴스가 이어지고 있어 국민적 관심도가 높은 이슈인 만큼 이를 악용하는 해커들이 있을 수 있다"며 "공식 문서는 반드시 공식 홈페이지에서 내려받고 개인 SNS(사회관계망서비스)나 이메일을 통해 전달받은 파일은 가급적 열어보지 않는 게 중요하다"고 당부했다.