[아이뉴스24 김혜경 기자] 최근 '카카오 먹통 사태', '이태원 참사' 등 사회적 혼란 상황을 악용한 사이버 공격이 기승을 부리고 있다. 카카오톡 설치파일, 보안 점검 서비스 사칭에 이어 정부 보고서로 위장한 악성코드가 연이어 발견되면서 이용자의 주의가 요구된다.
![최근 '카카오 먹통 사태', '이태원 참사' 등 사회적 혼란 상황을 악용한 사이버 공격이 기승을 부리고 있다. [사진=픽사베이]](https://image.inews24.com/v1/7983a4e53b9bf6.jpg)
1일 보안업계에 따르면 지난달 31일 '서울 용산 이태원 사고 대처상황'이라는 제목의 파일로 위장한 악성코드가 탐지됐다.
해당 악성파일은 'ms-offices[.]com' 원격지에서 또 다른 파일을 호출하는 방식이다. 도메인은 지난달 24일에 생성됐다. 외부로부터 악성 매크로를 가져와 실행하는 '원격 템플릿 인젝션(remote template injections)'이 사용됐다.
공격자는 중앙재난안전대책본부(중대본)가 배포한 지난달 31일자 이태원 참사 관련 보고서를 모방했다. 정상문서는 한글(hwp) 파일 형태지만 이번에 발견된 악성파일은 MS 워드(DOC) 문서 형식이라는 점이 다르다. 현재까지 공격 배후는 불분명하다.
문종현 이스트시큐리티 이사는 "추가로 인젝션되는 파일이 아직까지 악성 형태로는 발견되진 않은 상황으로 조사를 진행하고 있다"며 "사회적 혼란을 틈타 유사한 보안위협이 발생할 수 있으니 각별한 주의가 필요하다"고 말했다. 현재 한국인터넷진흥원(KISA) 등 유관기관도 상황을 주시하면서 대응에 나선 상황이다.
![지난달 31일 '서울 용산 이태원 사고 대처상황'이라는 제목의 파일로 위장한 악성코드가 탐지됐다. [사진=구글의 '바이러스토탈' 화면 캡쳐]](https://image.inews24.com/v1/50bc8c5fd33783.jpg)
앞서 지난달 중순에는 카카오 사태를 악용한 피싱 메일과 보안 점검 서비스로 위장한 악성코드가 유포됐다.
같은달 17일 과학기술정보통신부와 KISA는 악성 프로그램 설치를 유도하는 피싱 메일을 확인해 해당 유포 사이트를 긴급 차단했다. 실제 카카오톡 다운로드 파일(KakaoTalkUpdate.zip 등)로 위장해 악성 프로그램을 유포하거나 카카오 장애 관련 문자메시지를 발송, 피싱사이트 로그인을 유도하는 방식이다.
이어 20일에는 '내PC 돌보미' 서비스 프로그램으로 위장한 악성코드가 포착됐다. 해당 서비스는 KISA가 운영하는 보안 취약점 점검 무료 서비스다. 악성코드 감염 피해가 발생했다면 국민 누구나 컴퓨터, 스마트폰 등에 대한 점검 서비스를 받을 수 있다.
해당 악성파일은 KISA를 사칭한 도메인을 통해 'kisa-down[.]com/mypc_care.zip' 등의 압축파일 형태로 유포되고 있다. 악성파일 실행 시에는 아무것도 보이지 않는 것으로 나타났다.
보안 점검 사이트로 위장한 이유는 앞서 정부 차원에서 해킹 관련 공지를 배포하고, 초기 공격을 차단함에 따라 이용자의 의심을 완화하기 위한 조치로 추정된다. 당시 카카오 사태를 악용한 악성코드 유포 배후는 북한으로 지목된 바 있다.
/김혜경 기자(hkmind9000@inews24.com)
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기