지난 주말 국민 156명이 목숨을 잃은 '이태원 핼러윈 참사'를 악용한 해킹 활동이 탐지됐다. 중앙재난안전대책본부(중대본)가 배포한 참사 관련 보고서를 사칭한 악성 문서파일이 배포된 것으로 나타났다.

1일 보안업계에 따르면 지난 31일 구글 백신 엔진 사이트 '바이러스 토탈'에 '서울 용산 이태원 사고 대처상황(06시)'라는 제목의 마이크로소프트(MS) 워드(.docx) 문서 형식 악성 파일이 올라왔다.

공격자는 실제 행정안전부 공식 홈페이지에 게재된 중대본 이태원 참사 관련 보고서를 사칭해 악성파일을 유포했다. 실제 보고서는 한글(.hwp) 파일이었던 반면, 악성 파일의 경우 MS워드 파일로 배포됐다. 

만약 파일을 실행하게 되면 사용자 기기가 공격자에 의해 원격 조종 당할 수 있는 것으로 분석됐다. 또 해커들이 주로 사용하는 '원격 템플릿 삽입(Remote Template Injections)' 기법이 적용돼 외부에서 악성 매크로를 삽입해 실행하는 것도 가능한 것으로 나타났다.

정확한 공격 배후는 지목되지 않았지만 공격에 쓰인 명령제어 서버 도메인을 분석한 결과, 며칠 전 중국에서 등록된 것으로 나타났다. 다만 도메인 등록은 위조가 가능해 단정짓기는 어렵다고 전문가들은 설명했다. 

문종현 이스트시큐리티시큐리티대응센터(ESRC) 센터장은 "도메인 등록은 얼마든지 위조가 가능하기 때문에 공격 배후를 단정짓기는 어렵다"며 "현재 서버는 다 차단시켰고, 후속적으로 일어날 수 있는 추가 공격을 대비하고 있다"고 설명했다.

이날 한국인터넷진흥원(KISA)는 보안 공지를 통해 "이태원 사고 대처상황 보고서로 위장한 악성문서가 발견됐다"며 "사고로 인한 혼란을 틈타 정부 및 공공기관을 사칭한 해킹메일, 영상 또는 이미지 등을 통해 악성코드 유포가 예상된다"고 알렸다.

KISA 측은 송신자 주소를 정확히 확인하고, 출처가 불분명한 이메일과 첨부파일 열람을 자제해야 한다고 경고했다. 또 이메일 내부 클릭을 유도하는 링크는 먼저 의심하고, 연결된 사이트 주소의 정상 여부도 확인해야 한다고 안내했다. 또한 운영체제(OS)와 자주 사용하는 문서 프로그램을 업데이트하고, 바이러스 백신 업데이트와 수시 검사를 당부했다.

김가은 기자 7rsilver@techm.kr