인사담당자 타깃 '입사지원' 위장 랜섬웨어 주의
2018.05.11 오전 11:37
인사담당자 메일로 랜섬웨어 전송, 첨부 링크·압축파일 실행 금지
[아이뉴스24 성지은 기자] 입사지원으로 위장한 랜섬웨어 공격이 기승을 부리고있다.

해커는 사람인 등 채용정보 사이트에 기재된 인사담당자에게 입사지원자를 사칭한 랜섬웨어 감염 메일을 발송하고 있다.

첨부된 링크를 클릭하고 압축파일을 실행할 경우 랜섬웨어에 감염될 수 있어 사용자 주의가 필요하다.

보안기업 이스트시큐리티는 입사지원으로 위장한 이메일 공격으로 '갠드크랩 랜섬웨어'가 확산되고 있다며 기업 내 인사담당자들이 각별히 주의해야 한다고 11일 경고했다.



랜섬웨어는 PC 등 사용자 기기 내 주요 파일을 암호화한 뒤 파일 복구를 대가로 암호화폐를 요구하는 사이버 공격을 말한다.

이스트시큐리티에 따르면, 해커는 이메일에 별도 파일을 첨부하지 않고 본문에 '이력서를 첨부하였습니다'라는 문구를 악성주소(URL)와 연결했다.


해당 문구를 클릭할 경우 압축파일이 내려받아진다. 다운로드된 압축파일 내부에는 이력서를 의미하는 영문표기의 자바스크립트 파일(resume.js)이 포함됐다.

만약 인사담당자가 해당 파일을 실행할 경우, 해외에 위치한 명령제어서버를 통해 EXE 형태의 랜섬웨어 파일이 설치·실행되며 사용자 기기가 랜섬웨어에 감염돼 파일을 열어볼 수 없는 상태가 된다.



이스트시큐리티 측은 "해커는 2016년 말부터 한국의 특정기관, 기업, 고유 커뮤니티에 속한 개인들을 상대로 약 1년 넘게 랜섬웨어 유포했다"며 "최근 국내 취업전문 웹 사이트의 채용정보에 기재된 기업 내 인사담당자의 이메일로 집중 공격을 수행하고 있어 피해가 연이어 보고되고 있는 실정"이라고 설명했다.

앞서 디자이너를 사칭해 이미지 저작권 문제로 항의하고 이메일 첨부파일을 열어보도록 현혹한 뒤 갠드크랩 랜섬웨어에 감염시키는 피해가 발생한 바 있다.

현재 이스트시큐리티는 한국인터넷진흥원(KISA)과 협력해 해당 명령제어서버의 국내 접속을 차단할 수 있도록 진행 중이다. 추가 모니터링 또한 실시하고 있다.

그러나 해커는 변종 랜섬웨어를 만들어 공격을 수행 중이며 인사담당자를 대상으로 맞춤형 공격을 실시하고 있어 주의가 필요하다. 압축파일을 내려받았어도 우선 자바스크립트 파일(resume.js)을 실행하지 않으면 랜섬웨어에 감염되지 않는다는 게 이스트시큐리티 측 설명이다.



랜섬웨어 공격이 극심해지는 가운데, 채용정보 사이트 사람인은 이와 관련한 긴급공지를 내고 기업 인사담당자 등에게 주의를 안내하고 있다.

사람인 측은 "해당 메일에 첨부된 파일과 링크느 절대 실행하지 말고 다운로드 받은 파일은 즉시 삭제해달라"고 당부했다. 이어 "수신한 메일을 바로 삭제한 뒤 바이러스 검사를 수행하라"고 권고했다.

또 "꼭 필요한 경우가 아니라면 이메일 주소는 표기하지 않고 지원자 모집방법을 '사람인 입사지원'으로 선택하면 악용되는 사례를 막을 수 있다"며 "채용 공고 등록 시 인사담당자의 이메일 주소는 '비공개'로 선택해달라"고 당부했다.

한편, KISA에서 운영하는 인터넷보호나라 사이트는 해킹·바이러스 상담·신고를 받는다. 랜섬웨어 감염이 의심되거나 피해가 발생했을 경우, KISA 인터넷보호나라 사이트를 통해 상담과 신고를 받을 수 있다.



/성지은기자 buildcastle@inews24.com