최근 국내 기업 인사 담당자를 대상으로 구직자 입사 지원서를 위장한 랜섬웨어 이메일이 빠르게 유포되고 있어 주의가 요구된다.

11일 이스트시큐리티에 따르면, 이 랜섬웨어는 올해 3월 유포된 '갠드크랩(GandCrab) v2.0' 랜섬웨어의 후속 버전인 '갠드크랩 v3.0' 랜섬웨어인 것으로 확인됐다.

입사 지원서로 위장한 랜섬웨어 유포 악성 이메일 본문. / 이스트시큐리티 제공
입사 지원서로 위장한 랜섬웨어 유포 악성 이메일 본문. / 이스트시큐리티 제공
갠드크랩 v2.0이 주로 이중 확장자를 이용해 문서나 사진 파일 등으로 위장한 링크 파일(.lnk)을 첨부한 이메일로 유포됐다면, 갠드크랩 v3.0은 악성 URL 링크를 첨부해 악성 압축파일을 내려받도록 유도하는 점이 특징이다. 압축파일에는 실행 시 자동으로 랜섬웨어를 설치하는 자바스크립트(.js) 파일이 포함돼 있다.

악성 이메일은 국내 유명 취업 전문 사이트의 기업별 채용 정보에 기재된 기업 인사 담당자 이메일을 대상으로 빠르게 유포 중이다. 이메일은 유창한 한국어로 작성돼 있어 인사 담당자는 구직자 입사 지원서로 착각해 첨부 링크를 클릭할 확률이 높다.

랜섬웨어에 감염되는 인사 담당자 컴퓨터 내 문서, 사진 등 주요 파일이 암호화되고, 이를 풀어주는 조건으로 금전을 요구한다.

이스트시큐리티는 한국인터넷진흥원(KISA)과 협력해 악성 이메일에 첨부된 자바스크립트 파일이 동작하는 원격 서버의 국내 접속 차단 조치를 진행하며, 추가 공격에 대한 모니터링을 강화 중이다.