‘이태원 사고 대처상황.docx’ 절대 열지마세요...악성파일 대처법은?

이태원 사고 대처상황 보고서로 위장한 악성문서 카카오 먹통 등 혼란 틈타 악성파일 및 해킹 극성 아무도 믿지 않는 '제로 트러스트'로 대비할 필요

이태원 참사를 악용한 악성코드. 구글 바이러스 토탈 홈페이지 갈무리. /뉴스1

[파이낸셜뉴스] 이태원 참사를 악용한 악성 파일이 발견되는 등 혼란 시기를 틈타 자행되는 해킹에 대한 사용자 주의가 요구된다. 전문가들은 송신자 주소를 정확히 확인하고, 모르는 이메일이나 첨부 파일은 열람하지 않는 등 다양한 방식으로 철저히 대비해야 한다고 조언한다.

중대본 보고서 위장 악성파일 주의보

3일 관련 업계에 따르면, 한국인터넷진흥원(KISA)은 '인터넷 보호나라' 홈페이지 공지를 통해 "서울 용산 이태원 사고 대처상황 보고서로 위장한 악성문서가 발견됐다"며 "사고 관련 내용이 포함된 이메일 및 문자메시지를 악용해 악성코드 설치 유도가 예상된다"며 주의를 당부했다.

해당 악성 문서는 지난 10월 31일 구글의 백신 엔진 플랫폼 '바이러스 토탈'에서 발견됐다. '서울 용산 이태원 사고 대처상황(06시)'이라는 파일명의 마이크로소프트(MS) 워드(.docx) 형식 문서다. 보안 업계 관계자들에 따르면, 이는 행정안전부 홈페이지의 중앙재난안전대책본부(중대본) 보고서로 위장한 악성 파일인 것으로 확인됐다.

중대본 보고서는 한글(.hwp) 파일이지만, 악성 파일은 마이크로소프트(MS) 워드 파일 형태로 돼 있다.

파일을 열면 악성 URL로 연결돼 시스템이나 컴퓨터가 원격 조종 당하는 등 피해를 입는 것으로 알려졌다. KISA 측은 "이태원 사고 관련 악성문서 파일이 유포됐다는 점을 확인해 현재는 차단한 상태"라면서 "피해 사례가 접수된 건은 없다"고 전했다.

이태원 참사를 수사 중인 서울경찰청 수사본부와 국립과학수사연구원들이 지난달 31일 서울 용산구 이태원 압사 참사 현장을 합동감식하고 있다. 사진=서동일 기자

"이메일 내부 클릭 유도 일단 의심"

이처럼 혼란스러운 사회 상황을 틈타 악성코드가 배포되는 일이 되풀이 되고 있다.

최근 판교 데이터센터 화재로 발생한 카카오 먹통 사태 때 '카카오톡 업데이트 파일'을 사칭한 공격이 있었다. 엄흥열 순천향대 정보보호학과 교수는 "메일이나 파일을 접한 사람들이 관심이 있을 법한 내용으로 해킹을 시도하는 전형적인 수법"이라며 "악성 파일을 열었을 때 그 안에 있는 악성 코드가 컴퓨터에 깔리게 되면 랜섬(몸값)웨어 공격이 진행될 수 있고, 금융 관련된 정보 유출 등도 우려된다"고 경고했다.

문종현 이스트시큐리티 시큐리티대응센터(ESRC) 센터장(이사)은 "세월호 참사 때도 그렇고 사회적으로 큰 이슈가 있을 때 이를 악용한 악성 파일 문제는 늘 있었다"며 "북한 핵실험 이슈 등 최근 사회적 혼란에 대한 관심사를 이용하는 기법에 대비해야 한다"고 조언했다. 이어 "주변인이나 회사 상사를 사칭해 메일을 보내 해킹을 진행하는 경우도 많다"면서 "공격이 정교하게 이뤄지는 만큼 모든 것을 신뢰하지 않는다는 '제로 트러스트'도 필요하다"고 말했다.

KISA도 이태원 참사와 관련, 이를 악용한 해킹 메일과 피싱·스미싱 등 사이버 공격에 대한 사용자 주의를 거듭 당부했다.

해킹 메일을 예방하기 위해 △송신자 주소에 대한 정확히 확인, 모르는 이메일 및 첨부파일 열람 금지 △이메일 첨부 파일 중 출처 불분명한 파일 다운로드 자제 △이메일 내부 클릭 유도하는 링크는 일단 의심하고 연결된 사이트 주소 정상 사이트 여부를 반드시 확인 등이 있다.

피싱과 스미싱에 대한 예방책으로는 출처가 불분명한 사이트 주소는 클릭을 자제하고 바로 삭제하는 등 방법을 권고했다. 아울러 PC 및 스마트폰 보안 강화도 촉구했다.

운영체제나 자주 사용하는 문서 프로그램 등에 대해 최신 업데이트를 수행해야 한다는 것을 강조했다.

soup@fnnews.com 임수빈 기자