2일 보안업계에 따르면 구글 백신 엔진 사이트 '바이러스 토탈'에 지난달 31일 '서울 용산 이태원 사고 대처상황'이라는 제목의 파일로 위장한 악성코드가 탐지됐다.
공격자는 실제 중앙재난안전대책본부(중대본)가 배포한 지난달 31일자 이태원 참사 관련 보고서를 모방했다. 정상문서는 한글(hwp) 파일 형태지만 이번에 발견된 악성파일은 MS 워드(DOC) 문서 형식이라는 점이 다르다. 아직 정확한 공격 배후는 지목되지 않았다.
해당 악성파일은 'ms-offices[.]com' 원격지에서 또 다른 파일을 호출하는 방식이다. 도메인은 지난달 24일에 생성됐다. 외부로부터 악성 매크로를 가져와 실행하는 '원격 템플릿 인젝션(remote template injections)'이 사용됐다.
이 파일에는 해커들이 많이 쓰는 '원격 템플릿 삽입'(Remote Template Injections) 기법도 적용됐다. 외부로부터 악성 매크로를 가져와 실행하는 역할을 한다.
문종현 이스트시큐리티 이사는 "'원격 템플릿 삽입' 기법을 이용해 'ms-offices[.]com'이란 주소에서 파일을 호출하는 기능이 적용됐다"며 "확인해보니 공식 MS 사이트는 아닌 걸로 확인이 돼 악성코드로 판단했다"고 설명했다.
이어 "누군가가 소셜네트워크서비스(SNS)·이메일로 보내는 것들을 열어볼 때 다들 주의할 필요가 있다"며 "의심스러운 파일을 보면 과학기술정보통신부 ·한국인터넷진흥원(KISA) 또는 보안업체에 빠르게 신고해야 한다"고 덧붙였다.
<저작권자 © ‘존중받는 개인, 부강한 대한민국’ 시대, 무단전재 및 재배포 금지>