지난 3년간 북한발 사이버 공격의 74%가 포털 네이버나 다음 등을 사칭한 이메일 피싱 공격으로 나타났다. 국가정보원이 25일 공개한 ‘2020~2022년 북한 해킹조직 사이버 공격 통계’에 따르면 대한민국을 상대로한 북한 사이버 공격 중 이메일을 악용한 해킹 공격의 비중이 가장 높았다. 이어 보안프로그램 약점을 뚫는 ‘취약점 악용’(20%), 특정사이트 접속시 악성코드가 설치되는 ‘워터링 홀’(3%) 수법이 뒤를 이었다. 해킹 메일을 사칭한 기관으로는 포털 네이버와, 카카오가 운영하는 다음이 각각 45%와 23%였다. 금융·기업·방송언론을 사칭한 경우도 12%, 외교안보 기관을 사칭한 경우도 6%를 차지했다.특히 북한은 수신자가 메일을 쉽게 열람하도록 발신자명과 메일 제목을 교묘하게 변형했다. 발신자를 포털사이트 운영자인 것처럼 가장했고 이메일 주소도 ‘naver’를 ‘navor’로, ‘daum’을 ‘daurn’로 표시했다. 국정원 관계자는 “북한이 해킹 메일로 확보한 계정정보를 이용해 2~3차 공격 대상자를 선정해 악성코드 유포 등 공격을 수행하고 있다”고 설명했다. 국정원은 이메일을 열람할 때 발신자명과 함께 ‘관리자 아이콘’ 확인하고 공식 관리자 메일 주소인지 등을 점검하라고 당부했다. 국정원 관계자는 “북한이 대한민국 국민 전체를 대상으로 해킹 공격을 하고 있다”며 “네이버와 다음 등 국내 주요 포털사이트 운영사와 해킹 메일 차단 방안 마련을 위한 정보 공유를 강화하겠다”고 밝혔다.

중앙선거관리위원회가 북한의 해킹 시도와 관련해 국가정보원의 보안점검을 수용하는 방안을 검토하고 있는 것으로 알려졌다. 15일 국회 행정안전위원회 등에 따르면 선관위는 전체회의를 하루 앞두고 행안위에 이런 의사를 전달했다. 선관위 관계자는 “내일(16일) 국회 행안위 현안 질의에서 사무총장이 관련 입장을 직접 밝힐 것”이라고 말했다. 앞서 선관위는 북한으로부터 해킹 시도가 있었는데도 행정안전부와 국정원의 보안 점검 권고를 거부했다는 논란이 제기됐다. 이에 선관위는 “북한 해킹 메일과 악성코드 수신 및 감염 사실을 국정원으로부터 문서나 유선으로 통보받은 사실이 없다”며 “헌법상 독립기관인 선관위가 행안부·국정원의 보안컨설팅을 받을 경우 정치적 중립성에 관한 논란을 야기할 수 있다”고 반박했지만 입장을 바꿨다. 선관위는 박찬진 사무총장과 송봉섭 사무차장의 자녀 특혜 채용 의혹에 대해서는 자체 특별감사를 실시한 뒤 결과에 따라 감사원의 감사를 수용하는 방안도 검토 중인 것으로 전해졌다. 이들은 지방공무원으로 근무하다가 각각 지난해와 2018년도에 선관위 경력직 공무원에 채용됐다. 선관위는 전날 “이달 중 별도의 특별감사위원회를 설치하고 특별감사를 실시하겠다”고 밝혔다. 비판이 고조되자 ‘특혜는 없었다’던 기존 입장을 바꾼 것이다. 행안위 소속 정우택 국민의힘 의원이 선관위에서 받은 자료에 따르면 송 차장 자녀는 2018년 충남 보령시에서 충북 단양군 선관위에 경력 채용될 때 면접관으로 위촉된 선관위 내부 직원 3명으로부터 모두 면접 점수 만점을 받은 것으로 나타났다. 면접관 3명은 송 차장 자녀와 함께 시험에 응시한 다른 지원자에게도 모두 면접 점수 만점을 줬다. 한편 여야는 오는 24일 국회 운영위원회 전체회의를 열어 대통령실을 상대로 현안 질의를 실시하기로 잠정 합의했다. 대통령비서실에서는 김대기 비서실장과 이관섭 국정기획수석 등 수석 전원이, 국가안보실에서는 조태용 실장과 김태효 1차장 등이 참석 대상이다. 여야는 운영위에서 윤석열 대통령의 한미·한일 정상회담 결과를 놓고 공방을 벌일 것으로 예상된다.

“내일 국회 행안위에서 사무총장이 입장 발표”사무총장·차장 자녀 의혹도 감사원 수용 검토 중앙선거관리위원회가 북한의 해킹 시도와 관련 국가정보원의 보안점검을 수용하는 방안을 검토하고 있는 것으로 알려졌다. 15일 국회 행정안전위원회 등에 따르면 선관위는 전체회의를 하루 앞두고 행안위에 이런 의사를 전달했다. 선관위 관계자는 “내일(16일) 국회 행안위 현안 질의에서 사무총장이 관련 입장을 직접 밝힐 것”이라고 말했다. 앞서 선관위는 북한으로부터 해킹 시도가 있었는데도 행정안전부와 국정원의 보안 점검 권고를 거부했다는 논란이 제기됐다. 이에 선관위는 “북한 해킹 메일과 악성코드 수신 및 감염 사실을 국정원으로부터 문서나 유선으로 통보받은 사실이 없다”며 “헌법상 독립기관인 선관위가 행안부·국정원의 보안컨설팅을 받을 경우 정치적 중립성에 관한 논란을 야기할 수 있다”고 반박했지만 입장을 바꿨다. 선관위는 박찬진 사무총장과 송봉섭 사무차장의 자녀 특혜 채용 의혹에 대해서는 자체 특별감사를 실시한 뒤 결과에 따라 감사원의 감사를 수용하는 방안도 검토 중인 것으로 전해졌다. 이들은 지방공무원으로 근무하다가 각각 지난해와 2018년도에 선관위 경력직 공무원에 채용됐다. 선관위는 전날 “이달 중 별도의 특별감사위원회를 설치하고 특별감사를 실시하겠다”고 밝혔다. 비판이 고조되자 ‘특혜는 없었다’던 기존 입장을 바꾼 것이다. 행안위 소속 정우택 국민의힘 의원이 선관위에서 받은 자료에 따르면 송 차장 자녀는 2018년 충남 보령시에서 충북 단양군 선관위에 경력 채용될 때 면접관으로 위촉된 선관위 내부 직원 3명으로부터 모두 면접 점수 만점을 받은 것으로 나타났다. 면접관 3명은 송 차장 자녀와 함께 시험에 응시한 다른 지원자에게도 모두 면접 점수 만점을 줬다. 한편 여야는 24일 국회 운영위원회 전체회의를 열어 대통령실을 상대로 현안 질의를 실시하기로 잠정 합의했다. 대통령비서실에서는 김대기 비서실장과 이관섭 국정기획수석 등 수석 전원이, 국가안보실에서는 조태용 실장과 김태효 1차장 등이 참석 대상이다. 여야는 운영위에서 윤석열 대통령의 한미·한일정상회담 결과를 놓고 공방할 것으로 예상된다.

2021년 서울대병원에서 발생한 83만건의 개인정보 유출 사건은 북한 해킹조직의 소행으로 드러났다. 악성코드 감염으로 바깥으로 새 나간 정보는 조직검사와 같은 병리 검사 결과, 진단명, 환자 이름 등 모두 81만건에 달한다. 경찰은 이들이 주요 인사에 대한 진료 정보를 노리고 해킹을 저지른 것으로 봤다. 경찰청 국가수사본부는 2021년 발생한 서울대학교병원 개인정보 유출사건 수사 결과를 10일 발표했다. 경찰청 관계자는 “공격 근원지의 IP 주소, IP 주소 세탁 기법, 시스템 침입·관리 수법, 내부망 장악 시 사용한 계정 비밀번호에 북한 어휘가 사용된 점 등을 종합적으로 판단해 북한 해킹조직의 소행으로 판단했다”며 “‘김수키’와 연관이 있는 것으로 추정된다”고 밝혔다. 이들은 서울대병원 내부망을 장악할 때 사용했던 계정의 비밀번호에 ‘다치지 말라’(건들지 말라는 의미)는 북한 어휘를 사용하기도 했다. 이들은 2021년 5~6월 국내외에 소재한 서버 7곳을 장악해 서울대병원을 해킹하기 위한 기반을 마련한 것으로 조사됐다. 경찰청 관계자는 “전현직 직원 1만 7000명의 정보는 실제로 유출된 것을 확인했고, 나머지 81만명의 환자 개인정보는 유출 정황을 확인했다”고 말했다.

2021년 서울대병원에서 발생한 83만건의 개인정보 유출 사건은 북한 해킹조직의 소행으로 드러났다. 악성코드 감염으로 바깥으로 새 나간 정보는 조직검사와 같은 병리 검사 결과, 진단명, 환자 이름 등 모두 81만건에 달한다. 경찰은 이들이 주요 인사에 대한 진료 정보를 노리고 해킹을 저지른 것으로 봤다. 경찰청 국가수사본부는 2021년 발생한 서울대학교병원 개인정보 유출사건 수사 결과를 10일 발표했다. 경찰청 관계자는 “공격 근원지의 IP주소, IP주소 세탁 기법, 시스템 침입·관리 수법, 내부망 장악 시 사용한 계정 비밀번호에 북한 어휘가 사용된 점 등을 종합적으로 판단해 북한 해킹조직의 소행으로 판단했다”며 “‘김수키’와 연관이 있는 것으로 추정된다”고 밝혔다. 김수키는 라자루스, 블루노로프, 안다리엘 등과 함께 북한 정찰총국 내 있는 여러 개의 해킹조직 중 하나다. 이들은 서울대병원 내부망을 장악할 때 사용했던 계정의 비밀번호에 ‘다치지 말라’(건들지 말라는 의미)는 북한 어휘를 사용하기도 했다. 경찰청 관계자는 “암호화돼 있는 비밀번호를 풀어보니 이런 단어를 사용한 것”이라며 “그동안 남한 쪽 여러 기관을 해킹하는 과정에서 압수되거나 공격이 막힌 것에 대한 메시지로 보인다”고 설명했다. 이들은 2021년 5~6월 국내외에 소재한 서버 7곳을 장악해 서울대병원을 해킹하기 위한 기반을 마련한 것으로 조사됐다. 서울대병원 내부망에 침투하기 위해 여러 서버를 살피던 이들은 게시판 글쓰기 기능에서 사진과 파일을 업로드할 때 악성코드를 심을 수 있다는 취약점을 발견했다. 이후 이들은 서울대병원 내부망에 침투해 각종 개인정보를 빼냈다. 경찰은 이들이 환자 81만여명, 전현직 직원 1만 7000명 등 모두 83만명의 개인정보를 빼낸 것으로 판단했다. 경찰은 “전현직 직원 1만 7000명의 정보는 실제로 유출된 것을 확인했고, 나머지 81만명의 환자 개인정보는 유출 정황을 확인했다”며 “아직까지 개인정보 유출 이후 2차 피해가 확인되거나 신고가 접수된 경우는 없다”고 설명했다. 북한 해킹조직은 조직검사와 세포 검사 등 병리 검사 사진과 진단명 등이 저장됐던 서버를 주 타깃으로 삼은 것으로 조사됐다. 유출 정황이 확인된 환자 81만명의 정보도 모두 병리 검사 결과가 저장됐던 서버에서 새 나갔다. 경찰청 관계자는 “피의자 검거 이후 진술을 받아야 해킹 목적을 확인할 수 있지만, 이번 사건은 검거가 불가능하다”면서도 “다만 주요 인사 등에 대한 진료 정보를 빼내기 위한 것이 목적으로 서울대병원을 해킹한 것으로 보인다”고 말했다. 다만 주요 인사의 진료 정보가 실제로 유출됐는지에 대해선 “확인해주기 어렵다”고 했다.

“선거관리위원회가 북한의 심각한 위협으로부터 스스로를 무책임하게 방치하고 있다”(국회 행정안전위 소속 국민의힘 의원들, 2023년 5월 3일) “국가정보원과 행정안전부가 북한 해킹 시도를 핑계로 헌법기관의 정보에 개입하려 하고 있다”(국회 행안위 소속 더불어민주당 의원들, 2023년 5월 4일) 북한 해커 조직이 한국의 중앙선거관리위원회에 대해 해킹을 시도했다는 사실이 논란이 되고 있습니다. 지난 2년간 중앙선관위에 대한 북한의 해킹 공격이 이어져 국정원이 보안점검을 권고했지만 선관위는 이를 거부했다는 주장이 제기된 겁니다. 5일까지 나온 국정원과 중앙선관위의 입장엔 상충하는 지점이 있습니다. 선관위는 지난 3일 입장문에서 “북한 해킹 메일과 악성코드 수신·감염 사실을 국정원으로부터 문서나 유선으로 통보받은 사실이 없다”고 부인했습니다. 반면 국정원은 선관위의 악성코드 감염과 이메일 해킹 사실을 통보했다고 반박했습니다. 국정원은 4일 유상범 국민의힘 의원의 질의에 대한 답변으로 “지난 2년간 북한 정찰총국의 해킹 메일과 악성코드 감염 등 사이버 공격 정보와 함께 피해 일시·IP 등 대응 조치에 필요한 사항을 이메일과 전화로 8회 통보했다”고 했습니다. 이어 국정원은 ▲해킹메일 유포(2023년 3월 31일, 2022년 4월 6일, 2021년 5월 12일, 2021년 4월 9일) ▲악성 코드 감염(2021년 4월 21일) ▲이메일 해킹(2021년 4월 12일, 2021년 3월 26일)을 통보했다고 밝혔습니다. 또 문제를 제기하는 측과 선관위 사이엔 사이버 안보 대응 체계에 대한 시각 차이도 엿보입니다. 선관위는 입장문에서 공정한 선거관리를 위한 독립기관인 만큼 자체 통합보안관제 시스템을 운영하고 있다는 점을 강조했습니다. 선관위는 “헌법상 독립기관인 선관위가 행안부, 국정원의 보안 컨설팅을 받을 경우 정치적 중립성에 관한 논란을 야기할 수 있다”고 우려하면서 “(시스템) 신뢰성 제고를 위해 국내 및 국제 표준 정보보호 관리체계 인증을 획득·유지하고 있다”고 주장했습니다. 반면 행안위 여권 의원들은 “선관위 북한 해킹 공격 시도로 선거인 명부 유출, 투· 개표 조작, 시스템 마비 등 치명적 결과 벌어질 수 있다”며 선관위 역시 국정원의 보안점검을 받을 필요가 있다고 주장했습니다. 안보 전문가 “독자적 인력 갖춘 선관위의 자체적 대응이 우선되어야” 중앙선관위는 홈페이지에서 “3·15 부정선거에 대한 반성으로부터 공명정대한 선거관리라는 헌법적 책무를 부여받고 창설됐다”고 소개하고 있습니다. 여권이 지적하는 북한의 해킹이나 야권이 지적하는 국정원의 정보 개입 모두 이상적인 공정한 선거 관리를 위협하는 요소일 수 있습니다. 더 큰 문제는 북한의 대남 사이버 위협이 고도화되면서 선관위가 북한 해커들의 공격대상이 되고 국정원의 보안 점검 권고를 받는 상황이 반복될 수 있다는 점입니다. 국정원에 따르면 지난해 한국에 대한 국제 해킹 조직의 하루 평균 해킹 시도는 118만건이고 절반 가량이 북한발 공격으로 파악됩니다. 이와 관련 사이버 안보 분야 전문가들은 다양한 의견을 제시했습니다. 선관위의 자체 대응 시스템 점검이 우선이라는 주장이 나오지만 선관위의 자체 능력이 부족하다면 직원 입회를 전제로 국가기관과 협력하는 것이 필요하다는 지적도 제기됩니다. 김승주 고려대 정보보호대학원 교수는 “국정원이 선관위에 8건을 통보했다고 알려지며 문제가 커 보이지만 실상 5건의 해킹 시도 건수 자체는 자체적으로 주의를 하면 되는 수준이고 악성 코드 감염에 대해선 독자적으로 인력을 갖추고 있는 선관위가 적절한 조치를 했는지를 확인하면 될 일”이라며 “현 제도상 국정원이 강제적으로 개입하지 못하는 대표적인 곳이 선관위와 국회이고 만약 개입이 필요하다면 선관위만 논의할 이유는 없다고 본다”고 말했습니다. 반면 박춘식 아주대 사이버보안학과 교수는 “선관위에 이미 해킹 사고가 터졌다면 전문기관들의 도움을 받아 침투 방법을 파악하기 위한 로그 분석 등을 이행해야 재발을 방지할 수 있다”며 “선관위엔 보안전문가가 충분히 많은 기관이 아니기 때문에 관련 기관과 적극 협력해 사고 원인을 파악할 필요가 있다”고 주장했습니다. 이어 “정보 유출이 문제라면, 개인 정보가 보이지 않게 분석할 수 있는 방법도 있다”고도 했습니다.

중앙선거관리위원회가 최근 북한의 해킹 조직으로부터 여러 차례 해킹 공격을 받고서도 국가정보원의 보안 점검을 거부했다고 한다. 북의 해킹 메일과 악성코드가 선관위에 수신 감염된 것을 국정원에서 확인해 이를 선관위에 알리고 보안 점검도 권고했다는 게 여권 고위 관계자의 설명이다. 그러나 선관위는 감염 사실을 통보받은 건 없고 보안 점검은 권고받았으나 헌법기관에 대한 정치적 중립성 침해 논란 등을 이유로 거부했다고 한다. 대신 선관위는 자체 보안 점검을 강화한다지만 내년 총선을 앞두고 보안의식이 안이한 건 아닌지 우려된다. 중앙선관위 해킹을 시도한 것으로 추정되는 기관은 북한의 정찰총국과 연계된 ‘라자루스’라는 해킹 조직이다. 2014년 미국 소니픽처스 해킹, 2016년 방글라데시 중앙은행 해킹을 이 조직이 했다. 국내에서는 지난해 11월 공공기관 3곳 등 61개 기관을 해킹한 바 있다. 지난 2월 사이버 분야 대북 제재 대상으로 지정된 상태다. 선관위는 해킹세력의 공격 대상이 된 지 오래다. 서울시장 보궐선거가 치러진 2011년 10월 26일 디도스 공격으로 홈페이지 내 투표소 위치 검색이 안 되는 등 두 시간 남짓 기능이 마비되면서 특검까지 받았고 2012년 19대, 2016년 20대 총선 때도 디도스 공격을 받은 바 있다. 사정이 이렇다면 보안 점검을 마다할 이유가 없다. 내년 총선을 앞두고 투개표 관리 등 선관위 업무관리에 구멍이 뚫리면 상상을 초월한 대가를 치러야 한다. 정보당국의 보안 점검이 선관위의 독립성을 해친다는 논거는 수긍하기 어렵다. 국가기관 간 불신에서 빚어진 일이라면 이거야말로 당장 치유해야 할 병증이 아닐 수 없다. 북의 사이버공격 파괴력을 간과해선 안 될 일이다. 선관위는 강도 높은 사이버 대책을 내놓기 바란다.

최근 LG유플러스에서 발생한 고객 정보 유출과 인터넷 접속 장애는 데이터 외부 유출에 대한 탐지·대응 체계의 부재, 네트워크 보안 장비의 미비 등 전반적 보안 부실에서 비롯된 것으로 나타났다. LG유플러스의 보안 인력과 예산은 다른 통신사에 비해 상대적으로 낮았다. 과학기술정보통신부는 27일 LG유플러스 정보 유출·접속 장애 사고 원인과 조치 방안을 발표했다. 과기정통부는 LG유플러스에서 고객 인증 시스템을 통해 2018년 6월쯤 29만 7117명분 개인 정보가 유출됐을 것으로 추정했다. 유출 경로는 정확히 파악되지 않았으나, 고객 인증 시스템이 보안에 취약했고 대용량 데이터 이동 등에 대한 실시간 탐지 체계가 없었던 것이 사고 원인으로 추정됐다. 당시 고객인증 데이터베이스(DB) 시스템에 웹 관리자 계정 암호가 시스템 초기 암호로 설정돼 있었고 관리자 계정으로 악성코드(웹셸)를 설치할 수 있었으며, 관리자의 DB 접근 제어 등 인증체계가 미흡했다. 올해 초 해킹 사이트에 LG유플러스 고객정보 2000만건을 6비트코인에 판매한다는 글을 올린 해커의 정체도 파악되지 않았다. 2차 피해 가능성에 대해 과기정통부는 스미싱, 이메일 피싱은 가능성이 있고, 불법 로그인, 유심(USIM) 복제는 비밀번호 암호화 등 조치로 가능성이 작다고 판단했다. 올해 1월 29일, 2월 4일 각각 63분과 57분에 걸쳐 유선 인터넷, 주문형 비디오(VOD), 070 전화 서비스 접속 장애를 일으킨 디도스 공격은 내부 라우터 장비 외부 노출, 라우터 간 접근 제어 정책 미흡, 주요 네트워크 구간 보안장비 미설치 등이 원인으로 지목됐다. 다른 통신사는 라우터 정보 노출을 최소화하고 있으나, LG유플러스의 경우 디도스 공격 전에 약 68개의 라우터가 노출돼 공격을 받은 것으로 분석됐다. 광대역 데이터 망에 라우터 보호를 위한 보안 장비도 설치돼 있지 않았다. 과기정통부는 LG유플러스의 정보보호 투자와 인력, 조직이 다른 통신사 대비 부족하다고 지적했다. 지난해 LG유플러스의 전체 정보통신 투자 대비 정보보호 투자액 비중은 3.7%로 KT 5.2%, SKT 3.9%보다 낮았다. 정보보호 인력도 91명으로 KT 336명, SKT 305명에 비해 적은 수준이었다. 아울러 LG유플러스에서 네트워크 구간마다 침입 탐지·차단 보안장비가 없었고 전사적인 정보기술(IT) 자원에 대한 통합 관리시스템도 부재했다. 과기정통부는 LG유플러스가 정보보호 인력과 예산을 타사 수준까지 확대할 것과 최고경영자(CEO) 직속 정보보호 조직을 구성하고, 맞춤형 모의훈련 및 C레벨 포함 보안 필수 교육을 도입할 것을 요구했다. 또 분기별로 보안 취약점을 점검하고 실시간 모니터링 체계와 IT 자산 통합 관리 시스템 개발·구축, 라우터 보호 시스템(IPS) 등 보안 장비 확충을 요구했다.

휴대전화 문자메시지(SMS)로 온 모바일 청첩장을 눌렀다가 개인정보가 유출돼 수천만원의 대출 피해를 본 사건이 발생해 경찰이 수사에 나섰다. 20일 경찰에 따르면 경남 사천경찰서는 문자메시지를 통한 휴대전화 해킹을 당했다는 고소장이 접수돼 관련 사건을 수사 중이다. 경찰에 따르면 50대 A씨는 지난 4일 자신의 휴대전화로 온 모바일 청첩장에 쓰여 있는 인터넷 주소를 눌렀다가 이른바 ‘스미싱’ 피해를 봤다. 스미싱은 문자메시지(SMS)와 피싱(Phishing)의 합성어로 ① 문자메시지 속 인터넷주소 클릭하면 ② 악성코드가 스마트폰에 설치되어 ③ 소액결제를 유도하거나 개인·금융정보 탈취해 악용하는 범죄 수법을 말한다. A씨의 경우 모바일 청첩장에 적힌 인터넷 주소를 누른 순간 휴대전화에 특정 앱이 설치됐고 이를 다시 누르면서 A씨의 개인정보가 불상의 피의자에게 유출된 것으로 알려졌다. 이 피의자는 A씨의 개인정보로 알뜰폰을 개설한 뒤 다음 날 인터넷 은행을 통해 6970만원을 대출받은 것으로 파악됐다. 인터넷 은행에서 대면 확인 없이 돈을 대출받을 수 있다는 점을 악용한 것이다. 경찰은 피해금이 8개 계좌를 통해 이체된 사실을 확인하고 계좌 압수수색을 통해 관련 수사를 이어가고 있다고 밝혔다. 경찰은 휴대전화 문자메시지로 출처가 확인되지 않은 인터넷 주소를 받을 경우 절대 클릭해선 안 된다고 주의를 당부했다.

지난해 인터넷뱅킹에 쓰이는 금융 보안인증 프로그램의 취약점을 악용해 컴퓨터를 해킹하고 악성코드를 퍼뜨린 사건이 북한과 연계된 해커그룹 ‘라자루스’의 소행으로 확인됐다. 경찰은 라자루스가 1000만대 넘는 국내 기관·기업·개인 PC에 설치된 보안인증 프로그램을 이용해 대규모 대남 사이버 공격을 준비한 정황도 확인했다. 경찰청 국가수사본부는 18일 “북한이 전자 금융서비스 이용에 필수적으로 설치되는 프로그램의 취약점을 악용하고, 국민 대다수가 접속하는 언론사 홈페이지를 악성코드 유포의 매개체로 활용한 해킹 사건”이라고 밝혔다. 2014년 김정은 북한 국무위원장을 다룬 영화 ‘더 인터뷰’ 제작사 소니픽처스를 해킹해 이름을 알린 라자루스는 북한 정찰총국이 배후에 있는 것으로 알려졌다. 라자루스는 2016년 방글라데시 중앙은행 해킹 사건, 2017년 워너크라이 랜섬웨어 사건에도 연루됐다. 우리 정부는 지난 2월 사이버 분야 대북 독자 제재 대상으로 라자루스를 지정한 바 있다. 박현준 경찰청 안보수사국 첨단안보수사계장은 “해킹 수법이나 공격 인프라 구축 방식 등을 감안하면 라자루스 소행이 확실하다”며 “다른 조직일 가능성은 없다는 게 경찰뿐 아니라 다른 관계기관의 일치된 의견”이라고 말했다. 경찰에 따르면 라자루스는 2021년 4월부터 1년 동안 국내 보안 인증업체를 해킹해 보안인증 프로그램을 이용한 사이버 공격을 준비했다. 해킹에 악용된 프로그램은 이니텍의 금융 보안인증 소프트웨어로, 전자금융·공공부문 인증서 관련 프로그램이다. 이들은 지난해 6월부터 이 프로그램이 설치된 PC가 특정 언론사 홈페이지에 접속하면 자동으로 악성코드가 설치되는 ‘워터링 홀’ 수법으로 국내 언론사 8곳, 의료바이오 기관 4곳, 공공기관 3곳 등 모두 61개 기관의 PC 207대를 해킹했다. 이 악성코드에 감염되면 내부 시스템 자료 탈취, 키보드 입력 내용 실시간 탈취, 강제로 특정 홈페이지 접속 등이 가능한 것으로 조사됐다. 이른바 ‘좀비 PC’가 된다는 얘기다. 라자루스는 이렇게 해킹한 PC의 관리자 권한을 빼앗은 이후 대규모 사이버 공격을 감행할 계획이었다. 다만 악성코드 감염 의심 첩보 등으로 입수한 뒤 보안 패치를 개발하면서 이를 막아 낼 수 있었다는 게 경찰의 설명이다. 국가정보원은 지난달 관련 보안 취약점을 공개하고 신속한 보안인증 프로그램 업데이트를 당부한 바 있다. 경찰청 관계자는 “해킹 피해를 예방하기 위해 보안인증 프로그램을 최신 버전으로 업데이트해 달라”고 말했다.

지난해 인터넷뱅킹에 쓰이는 금융 보안인증 프로그램의 취약점을 악용해 컴퓨터를 해킹하고 악성코드를 퍼뜨린 사건이 북한과 연계된 해커그룹 ‘라자루스’의 소행으로 확인됐다. 경찰은 라자루스가 1000만대 넘는 국내 기관·기업·개인 PC에 설치된 보안인증 프로그램을 이용해 대규모 대남 사이버 공격을 준비한 정황도 확인했다. 경찰청 국가수사본부는 “북한이 전자 금융서비스 이용에 필수적으로 설치되는 프로그램의 취약점을 악용하고, 국민 대다수가 접속하는 언론사 홈페이지를 악성코드 유포의 매개체로 활용한 해킹 사건”이라고 18일 밝혔다. 2014년 김정은 북한 국무위원장을 다룬 영화 ‘더 인터뷰’ 제작사 소니픽처스를 해킹해 이름을 알린 라자루스는 북한 정찰총국이 배후에 있는 것으로 알려져 있다. 라자루스는 2016년 방글라데시 중앙은행 해킹 사건, 2017년 워너크라이 랜섬웨어 사건에도 연루됐다. 우리 정부는 지난 2월 사이버 분야 대북 독자 제재 대상으로 라자루스를 지정한 바 있다. 박현준 경찰청 안보수사국 첨단안보수사계장은 “해킹 수법이나 공격 인프라 구축 방식 등을 감안하면 라자루스 소행이 확실하다”며 “다른 조직일 가능성은 없다는 게 경찰뿐 아니라 다른 관계기관의 일치하는 의견”이라고 말했다. 경찰에 따르면 라자루스는 2021년 4월부터 1년 동안 국내 보안 인증업체를 해킹해 보안인증 프로그램을 이용한 사이버 공격을 준비했다. 해킹에 악용된 프로그램은 이니텍의 금융 보안인증 소프트웨어로, 전자금융·공공부문 인증서 관련 프로그램이다. 이들은 지난해 6월부터 이 프로그램이 설치된 PC가 특정 언론사 홈페이지에 접속하면 자동으로 악성코드가 설치되는 ‘워터링 홀’ 수법으로 국내 언론사 8곳, 의료바이오 기관 4곳, 공공기관 3곳 등 모두 61개 기관의 PC 207대를 해킹했다. 이 악성코드에 감염되면 내부 시스템 자료 탈취, 키보드 입력 내용 실시간 탈취, 강제로 특정 홈페이지 접속 등이 가능한 것으로 조사됐다. 이른바 ‘좀비 PC’가 된다는 얘기다. 라자루스는 이렇게 해킹한 PC의 관리자 권한을 빼앗은 이후 대규모 사이버 공격을 감행할 계획이었다. 다만 악성코드 감염 의심 첩보 등으로 입수한 뒤 보안패치를 개발하면서 이를 막아낼 수 있었다는 게 경찰의 설명이다. 국가정보원은 지난달 관련 보안 취약점을 공개하고 신속한 보안인증 프로그램 업데이트를 당부한 바 있다. 경찰청 관계자는 “해킹 피해를 예방하기 위해 보안인증 프로그램을 최신 버전으로 업데이트해달라”고 말했다.

중미 에콰도르에서 언론인들을 노린 폭탄테러 미수사건에 사용된 건 ‘USB킬러’였다. 하비에르 찬고 에콰도르 경찰 범죄수사과장은 “기자들에게 배달된 USB는 'USB킬러'라고 불리는 테러도구”라며 “러시아에서 개발돼 테러단체들이 사용하고 있다”고 밝혔다. USB는 원래 5V에서 작동하지만 USB킬러는 컴퓨터에 꽂는 순간 220V를 분출하며 폭발하도록 설계돼 있다고 한다. 찬고 과장은 “작동 원리를 보면 테러범들이 노린 건 기자들의 목숨이 아니라 기자들이 사용하는 컴퓨터였을 수도 있다”며 “컴퓨터에 저장돼 있는 파일들을 비교 분석하면 테러범들이 노린 게 무엇인지 파악할 수 있을지 모른다”고 말했다. 테러미수사건은 20일(현지시간) 에콰도르 수도 키토와 지방 대도시 과야킬에서 동시다발적으로 발생했다. 민영방송 에쿠아비사의 기자 레닌 아르티에다는 이날 과야킬 방송국에서 자신에게 발송된 우편물 1통을 받았다. 편지봉투에는 USB가 들어 있었다. USB에 무슨 파일이 담겼는지 알려주는 편지나 메모는 없었지만 기자의 본능은 USB를 컴퓨터에 꽂게 했다. 아르티에다는 “바이러스나 악성코드가 담겨있을 가능성을 간과한 건 아니지만 종종 중요한 제보가 이런 식으로 전달되는 일이 있어 내용을 확인하기로 헸던 것”이라고 말했다. 하지만 내용물은 바이러스나 악성코드보다 훨씬 위험했다. USB는 컴퓨터에 꽂자마자 펑하고 폭발했다. 경찰은 “다행히 컴퓨터와 약간의 거리가 있어 얼굴을 약간 다쳤고, 손은 움직이는 데 불편함이 있을 정도로 부상을 입었지만 다행히 중상은 아니었다”고 밝혔다. 폭탄 USB를 받은 기자는 아르티에다뿐 아니었다. 과야킬의 국영방송국 TC 텔레비전과 수도 키토에 있는 텔레아마조나스 방송국에서도 비슷한 사건이 발생했다. 검찰에 따르면 TC 텔레비전의 기자는 폭발물이 든 봉투를 받았고, 텔레아마조나스 방송의 기자는 USB를 받았다. 검찰 관계자는 “동일한 사건이 발생한 사실을 인지한 뒤 확인해 보니 에쿠아비사의 기자 아르티에다가 받은 것과 동일한 USB였다”고 말했다. 에콰도르에서 언론의 자유 운동을 펼치고 있는 비정부기구 푼다메디오는 범행 수법이 매우 흡사해 동일범 내지는 동일 테러조직의 소행으로 추정된다고 밝혔다. 기자 3명에게 발송한 봉투가 동일하고 주소와 수취인 성명을 적은 위치도 똑같아 이런 심증에 더욱 무게가 실린다고 푼다메디오는 설명했다. 현지 언론에 따르면 이날 에콰도르에서 폭발물이 든 봉투를 받은 기자는 1명 더 있었다. 경찰은 4번째 사건을 부인하지 않았지만 수사가 진행 중이라는 이유로 확인을 거부했다.경찰은 사건 발생 직후 범행에 사용된 USB에 군용 폭발물 RDX가 들어 있었던 같다고 밝힌 바 있다. 

이혼 소송 서류를 위장해 악성코드를 유포하는 북한 해커조직의 활동이 확인돼 주의가 요구된다. 16일 인터넷 보안업체 ESRC(이스트시큐리티 시큐리티 대응센터)에 따르면 ‘협의 이혼 의사 확인 신청서’ 워드 파일로 위장한 악성 매크로 공격이 확인됐다. ESRC는 “여러 지표들을 분석한 결과 이번 공격은 북한이 배후에 있는 APT(지능형 지속위협) 조직의 ‘스모크 스크린’ 공격 활동의 연장선으로 결론지었다”며 “북한 정찰총국 지원을 받는 해커 조직의 국내 공격이 거세지고 있다”고 했다.이번 확인된 공격 메일에 담긴 악성코드는 ‘콰사르RAT’라고 불린다. 기존에는 주로 피싱 및 스팸 메일이나 크랙 프로그램을 통해 유포돼 왔는데 이번에는 이 매크로가 포함된 워드파일이 공격에 쓰인 것이다. ESRC에 따르면, 이번 공격 파일은 ‘협의 이혼 의사 확인 신청서’라는 제목의 워드 문서로 위장하고 있다. 사용자가 파일을 열람하면 문서 내 상단의 ‘콘텐츠 사용’ 버튼 클릭을 유도한다. 버튼을 누르면 본문 란에 협의이혼 의사 확인신청서 양식이 나타나지만, 워드 파일에 포함된 매크로가 자동 실행돼 공격자가 미리 설정해 놓은 악성 코드를 ‘version.ini’ 파일명으로 저장 및 실행해 ‘version.ini’, ‘runps.vbs’, ‘conf.ps1’ 등의 또다른 파일을 각각 생성 후 실행한다. 이후 ‘version.ini’은 공격자가 설정한 ‘c2’에 접속해 수 차례 추가 악성 파일을 다운로드한 뒤 최종적으로 콰사르RAT을 실행하게 된다.인터넷 보안업체 ESRC “북한 정찰총국이 배후” ESRC에 따르면 이 공격은 북한이 배후에 있다. 업체 측은 “여러 지표들을 분석한 결과 이번 공격은 북한 정찰총국이 배후에 있는 APT 조직이 실행한 ‘스모크 스크린’공격 활동의 연장선에 있다”고 설명했다. 북한의 정보기관이자 대외 무력 행사를 담당하는 정찰총국은 공작원의 양성 및 침투, 정보 수집, 요인 암살, 납치, 테러 등의 공작을 벌이는 집단이다. ESRC는 “이 공격 파일의 확장명은 워드 문서의 ‘.doc’으로 돼있지만, 실제 문서를 열람하면 아래아한글과 같이 구성돼있다”며 “공격자들이 법원 전자민원센터에서 제공되는 한글 파일(.hwp)을 워드 파일(.doc)로 저장해 이번 공격 파일로 위장 및 사용했음을 추측할 수 있다”고 지적했다. 그러면서 “공격자로 하여금 원격 접근이 가능하도록 허용하는 악성코드”라며 “사용자 계정 및 사용자 환경정보 수집이 가능하며 원격 코드실행 및 파일 업·다운로드 등 추가 악성행위가 가능하다”고 설명했다. 또 ESRC는 “의심스러운 파일들의 실행을 지양해 주길 바란다”면서 “백신 설치를 통해 안전한 PC 환경을 만들기 바란다”고 당부했다.

채팅 애플리케이션(앱)을 통해 받아낸 신체 노출 사진을 가족·지인 등에게 유포하겠다며 남성들을 협박해 수억원을 뜯어낸 ‘몸캠 피싱’ 조직이 경찰에 붙잡혔다. 23일 인천경찰청 사이버범죄수사대는 공갈 혐의로 20대 총책 A씨 등 5명을 구속하고 20대 공범 B씨를 불구속 입건했다고 밝혔다. A씨 등은 2021년 6월부터 지난해 11월까지 채팅 앱으로 신체 노출 사진을 보낸 남성 142명을 협박해 총 2억원을 받아 챙긴 혐의를 받는다. 이들은 광고회사로 위장한 사무실에 컴퓨터를 설치하고 채팅 앱에 접속해 속여 피해 남성들에게 접근했다. 이후 피해자들과 대화하며 신뢰를 쌓은 후 이름과 연락처를 알아내고, 얼굴과 신체 노출 사진도 받았다. 그런 다음 피해자들이 허위사이트에 접속하게 유도한 뒤 피해자들의 휴대전화에 악성코드를 심어 가족이나 지인 전화번호를 확보했다. 신체 노출 사진 유포 협박을 받은 피해자 142명 가운데 32명은 실제로 A씨 일당에게 돈을 보냈다. 피해자들은 적게는 40만원부터 많게는 4100만원까지 송금했다. 피해자 대부분은 20∼30대 직장인 남성으로 음란 채팅 사실이 가족이나 지인에게 알려질까 두려워 돈을 건넨 것으로 조사됐다. 경찰 관계자는 “젊은 남성들을 대상으로 한 몸캠피싱 범죄가 줄어들지 않고 있다”며 “채팅을 할 때는 출처가 불분명한 파일은 열지 말고 삭제해야 하며 신체 사진이나 음란한 영상통화를 하면 범죄 표적이 될 수 있다”고 당부했다.

서울도시철도 운영기관인 서울교통공사가 일평균 약 57만 건에 달하는 해킹공격을 받는 것으로 나타났다. 이경숙 서울시의원(국민의힘·도봉1)이 공개한 자료에 따르면 서울교통공사가 2018년 1월부터 2022년 9월까지 약 9억 8만 건의 해킹 공격을 받았다. 하루 평균 약 57만 건에 달하는 수치다.해킹 유형을 유형별 구분하면 디도스 공격 약 9억 3만 건(95%), 웹 공격 약 4,753만 건(4.6%), 스캔 공격 약 93만 건(0.3%), 악성코드 약 56만 건(0.1%) 순으로 나타났다. 이번에 서울교통공사가 제출한 2022년 1월~9월 국가별 해킹 공격 시도 현황에 따르면 미주권 82만 건(79%)으로 가장 많았다. 반면 중국과 북한은 각각 약 4만8천 건, 북한 0건으로 나타났다.이에 이 의원은 “서울교통공사는 이 기간 동안 해킹 공격에 발생한 피해는 없지만 기존 방어체계 유지보다 화이트해커 영입과 방어시스템 고도화에 아낌없는 예산 투입으로 적극적인 방어에 나서야 한다”고 말했다.

한국이 세계에서 4번째로 ‘사물인터넷(IoI) 멀웨어’ 감염 비중이 높은 것으로 파악됐다. 멀웨어는 시스템을 감염시켜 파괴하거나 정보를 유출하는 악성코드와 악성소프웨어 등을 의미한다.마이크로소프트(MS)는 16일 공개한 보안 보고서 ‘사이버 시그널’ 제3판에서 “올해 한국을 비롯한 20개국이 외부에 중요 정보를 유출할 수 있는 사물인터넷 멀웨어 감염 진원지로 나타났다”고 밝혔다. 보고서에 따르면 20개국 중 감염 진원지 1위는 중국(38%)이었다. 이어 미국(19%), 인도(10%), 한국(7%) 순으로 많았다. MS는 보고서에서 시장조사기관 IDC를 인용해 “2025년까지 세계 기업 및 소비자 환경 전반에 걸쳐 410억개 이상의 IoT 디바이스 수요가 예상된다”라면서 “카메라, 스마트 스피커, 잠금장치, 상업용 가전제품 등이 새로운 공격 진입 지점이 될 수 있다”고 경고했다. MS는 IoT 솔루션을 안전하게 사용하려면 사용자 신분을 명확히 확인하는 것은 물론 실시간 위험 탐지 등에 주의를 기울여야 한다고 당부했다. 바수 자칼 MS 보안 부문 부사장은 “산업 전반에 걸친 비즈니스 및 인프라 운영에서 방어의 원칙은 상호 연결된 시스템에 대한 전체적인 가시성을 확보하는 것을 비롯해 진화하는 위험과 종속성에 집중하는 것”이라고 강조했다.

경상북도의회 최병근 의원(김천)은 보이스피싱 등 전기통신금융사기 예방을 위한 ‘경상북도 전기통신금융사기 피해 방지 지원 조례안’을 대표 발의했다.  해당 조례안은 전기통신금융사기에 의한 피해가 지속적으로 발생함에 따라 도민의 재산상의 피해를 막고 안전한 금융생활 영위를 도모하고자 제안 됐다. 조례안의 내용을 보면 ▲전기통신금융사기 피해 방지에 관한 도지사 책무 규정,  ▲전기통신금융사기 피해 예방 지원 사업 규정, ▲관계기관 간 협력체계 구축에 관한 사항 규정 등을 주요 내용으로 하고 있다. 한편, 보이스피싱 등으로 불리는 ‘전기통신금융사기’는 전기통신을 이용해 타인을 기망 공갈함으로써 재산상의 이익을 취하거나 제3자에게 재산상의 이익을 취하게 하는 행위로서, 자금을 송금·이체하는 행위, 개인정보를 알아내어 자금을 송금·이체하는 행위를 말한다. ‘전기통신기본법’ 제2조제1호 “전기통신”이라 함은 유선ㆍ무선ㆍ광선 및 기타의 전자적 방식에 의하여 부호ㆍ문언ㆍ음향 또는 영상을 송신하거나 수신하는 것을 말한다. 현재 경북도의 최근 5년(18년~22년 6월)간 전기통신금융사기에 의한 피해발생건수는 7,300여건이고, 피해액은 1,200억원에 달하는 것으로 나타났다. 과거 전화를 이용한 보이스피싱 정도에 그쳤던 전기통신금융사기는 점차 그 수법이 교묘해짐에 따라 피싱사이트(금융거래정보를 빼내기 위해 은행 등의 홈페이지를 모방하여 만든 가짜 사이트), 파밍(컴퓨터를 악성코드에 감염시켜 이용자가 정상적인 금융회사 홈페이지에 접속하더라도 피싱사이트에 연결되도록 하는 사기수법), 스미싱(문자 메시지를 이용한 사기수법) 등 다양한 방법으로 전 연령대에 거쳐 많은 피해를 야기하고 있는 상황이다. 이에 해당 조례안이 시행되면 전기통신금융사기에 대한 사회적경각심을 고취시키고 도 차원의 강화된 예방 지원책이 시행될 것으로 예상 돼 전기통신금융사기에 의한 피해가 점차 줄어들 수 있을 것으로 기대된다. 최 의원은 “그동안 경북도는 전기통신금융사기 피해 방지를 위한 제도적 근거가 미비한 실정”이라 밝혔다. 이어 “이번 조례 제정을 통해 어려운 환경 속에서 민생경제를 위협하고 도민을 눈물짓게 만드는 금융사기를 철저히 예방하며, 보다 안전한 금융생활망을 구축할 수 있도록 최선을 다하겠다”고 강조했다.

北해킹조직 APT37 사이버 공격‘이태원 사고 대응상황.docx’워드파일에 악성코드 심어 유포 북한 해킹조직이 ‘이태원 참사’ 비극을 악용해 사이버 공격을 감행한 사실이 확인됐다. 구글의 위협분석그룹(TAG)은 7일(현지시간) 보고서를 발표하고 지난 10월 말 북한 해킹조직 ‘APT37’의 소행으로 보이는 ‘이태원 참사’ 관련 사이버 공격을 발견했다고 밝혔다고 자유아시아방송(RFA)이 보도했다. 지난 10월29일 이태원 참사로 국민들이 패닉하고 있던 시기, 북한은 이를 악용해 남측에 사이버 공격을 감행한 것이다. 구글은 “이 북한 해킹조직이 한국의 비극적인 사건에 대한 대중의 관심을 악용해 해킹을 감행했다”며 “이태원 참사 대처상황 보고서로 위장한 악성문서를 한국인들에게 배포하고 피해자들이 문서를 내려받도록 만들어 악성코드를 설치했다”고 지적했다. 문제의 문서는 행정안전부 중앙재난안전대책본부 보고서로 위장한 악성파일로 사고개요와 인명피해, 조치 상황 등이 자세히 적혀 있다. 구글은 ‘APT37’이 인터넷 탐색기인 ‘인터넷 익스플로러’ 내 제로데이 취약점(CVE-2022-41128)을 악용해 공격했으며, 아직 구체적인 악성코드는 확인되지 않았지만 이 해킹조직이 과거 ‘돌핀’이나 ‘블루라이트’등의 악성코드를 배포했다고 밝혔다. 이어 ‘APT37’이 인터넷 익스플로어 제로데이의 취약점을 악용해 해킹 공격을 한 것이 이번이 처음은 아니라며 과거에도 한국인과 탈북자, 정치인, 언론인, 인권 운동가를 대상으로 해킹했다고 부연했다. 그러면서 이 사이버 공격을 발견한 뒤 수일 내로 보안 조치를 했다고 덧붙였다.

한국이 주관하는 국제 사이버 안보훈련에 미국, 중국, 러시아가 처음으로 함께 참가한다. 국방부는 16∼17일 아세안 확대 국방장관회의 제9차 사이버안보 분과 회의를 화상으로 개최한다고 16일 밝혔다. 한국은 말레이시아와 함께 공동의장국으로서 회의를 주재한다. 아세안(동남아국가연합) 10개국과 ‘플러스’에 해당하는 한국, 미국, 중국, 일본, 러시아, 인도, 호주, 뉴질랜드가 참여 대상이다. 첫째 날에는 회원국 간 사이버 분야 국방정책 역량 강화를 위해 우리 주도로 ‘실전적 사이버 훈련을 위한 과제’를 논의한다. 한국인터넷진흥원 이동화 훈련팀장이 정부의 사이버훈련 현황과 정책 방향을 소개하고 이어 회원국들이 자국의 사이버 훈련에 대해 발표할 예정이다. 또 공동 의장국인 말레이시아가 참가국의 사이버 협력 비전과 실천 방향을 담은 ‘사이버안보 프레임워크’를 발표한다. 특히 17일에는 회원국의 기술적 역량을 높이기 위해 한국 국방부 주도로 원격 사이버 모의 훈련이 열린다. 랜섬웨어 등 최근 급증하는 사이버 위협 상황에 대해 2개 회원국이 1개 팀을 이뤄 문제를 공동 해결하는 방식이다. 악성코드 분석(리버스 엔지니어링)과 윈도 침해사고 분석(포렌식) 등으로 진행된다. 회의뿐만 아니라 훈련에도 미국·중국·러시아 등이 참여할 예정이다. 이들 세 나라가 함께하는 첫 국제 사이버 훈련이 된다. 국방부는 “훈련을 통해 회원국 간 사이버 대응 역량 격차를 좁히는 데 기여할 것”이라고 기대했다. 올해 원격훈련을 바탕으로 내년 하반기에 열릴 제11차 회의에서는 한국에서 대면 방식 훈련이 이뤄질 예정이다. 국방부는 “사이버안보 분야에서의 긴밀한 국제공조를 위한 책임 있는 역할을 성공적으로 수행해 역내 사이버안보 증진에 이바지하고 국제사회에서의 리더십을 강화해 나가겠다”고 밝혔다. 한국은 2020년 제5차 회의에서 말레이시아와 함께 2022∼2024년 3년 임기의 사이버안보 분과회의 공동의장국으로 선출된 바 있다.

지난달 29일 발생한 서울 이태원 참사를 악용한 문서파일 형식의 악성코드가 배포되고 있어 주의가 요구된다. 1일 구글의 백신 플랫폼 ‘바이러스 토탈’에는 지난달 31일 ‘서울 용산 이태원 사고 대처 상황(06시)’이라는 제목의 마이크로소프트(MS) 워드 문서 파일(.docx)이 게시됐다. 바이러스 토탈은 전세계 네티즌들이 악성코드가 포함된 것으로 의심되는 파일을 올리면 안정성 검사를 해주는 웹사이트 형태의 플랫폼이다. 문제의 파일은 실제 행정안전부 홈페이지에 올라온 중앙재난안전대책본부(중대본) 보고서와 유사한 형태로 파일명이 설정됐다. 차이는 파일 형식이다. 실제 보고서는 한글 문서 파일(.hwp)로 작성됐지만, 악성코드를 담은 파일은 MS 워드 문서로 제작됐다. 해당 파일을 실행하게 되면 해커에 의해 원격 조종을 당할 수 있다. 문종현 이스트시큐리티 시큐리티대응센터(ESRC) 센터장(이사)은 “파일을 실행하면 외부에서 악성 매크로를 불러와 실행하는 ‘원격 템플릿 인젝션’ 기능이 사용됐다”면서 “이 기능은 외부 서버에 있는 파일을 불러올 때 유용하게 쓰이지만, 해커들이 많이 악용한다”고 설명했다. 악성코드를 이용한 해킹 시도는 사회적 혼란이 있을 때마다 극성을 부려왔다. 지난달 ‘카카오 먹통’ 사태 때에도 “카카오톡 복구 파일입니다”라는 제목으로 다운로드용 압축파일로 위장한 악성 프로그램이 배포됐다. 문 센터장은 “이태원 참사와 관련한 파일을 소셜미디어나 이메일을 통해 받으면 열어봐서는 안 된다”면서 “모르는 사람은 물론 지인에게 받은 것도 계정 도용을 통한 것일 수 있어서 주의해야 한다”고 강조했다.