출처 : https://n.news.naver.com/mnews/article/138/0002135878?sid=105

156명 이상이 사망한 이태원 핼로윈 참사를 악용한 해킹 활동이 포착됐다. 중앙재난안전대책본부(이하 중대본)이 배포한 참사 관련 보고서를 사칭한 ‘가짜 문서파일’을 만들어 배포한 건이다.

1일 보안업계에 따르면 이태원 참사를 악용한 악성 문서파일이 배포되는 중이다. 구글의 무료 파일 검사 웹사이트 바이러스 토탈에서는 1일 ‘221031 ★ 서울 용산 이태원 대처(06시)’, ‘21031 ★ 서울 용산 이태원 사후 대처(18시)’ 등이 악성 파일로 스캔돼 있는 상태다.

많은 이들의 관심이 집중되는 이슈를 이용해 악성코드를 배포하는 것은 해커들의 주요 공격 기법 중 하나다. 코로나19 백신 및 예약접종이나 재난지원금 관련 소식, 대통령 선거 등에서도 유사한 유형의 공격이 발생했다. 최근 발생한 카카오 먹통 때도 ‘카카오톡 업데이트 파일’을 사칭한 악성파일이 유포된 바 있다.

악성 문서파일은 외부로부터 매크로를 가져와 실행하는 ‘원격 템플릿 삽입’ 방식이 쓰였다. 불러오는 문서파일에 악성 매크로가 있다면 해당 악성 매크로가 실행되는 구조인데, 마이크로소프트(MS)의 사이트처럼 위장된 가짜 도메인(Domain)에서 파일을 가져오도록 설정돼 있다. 

구글 바이러스 토탈서 확인된 악성 파일

구글 바이러스 토탈에 따르면 MS 사이트처럼 위장된 도메인은 이스트시큐리티, 비트디펜더, 아비라, 소포스, 이셋, 포티넷 등 11개 사이버보안 기업이 악성 도메인으로 신고한 상태다. 해당 도메인은 10월 24일 중국에서 등록된 것으로 나타난다.

사이버보안 관련 업무를 담당하는 한국인터넷진흥원(KISA)은 “이태원 악성문서 파일이 유포되고 있다는 사실은 인지하고 있다. 곧 정부 차원에서 주의 알림을 전할 것”이라며 “아직 피해 사례가 접수되지는 않았다”고 말했다.