"취업하고 싶어요"…채용 시즌 노린 랜섬웨어 등장

입력 2020.03.20 14:34

3월 들어 이력서 등 채용 관련 정보를 사칭한 메일이 기승을 부린다. 해당 메일에는 악성 파일이 담겨 있어 자칫 열어봤다가는 랜섬웨어에 감염돼 피해를 볼 수 있다. 상반기 취업 시즌인 만큼 채용 관계자 주의가 필요하다. 보안 업계는 기본 보안 수칙만 습관화해도 랜섬웨어 공격을 막을 수 있다고 조언한다.

안랩은 이력서로 위장한 메일에 악성 파일을 담은 ‘넴티(NEMTY)’ 랜섬웨어가 유포되고 있다고 20일 밝혔다. 앞서 유사 방식으로 이력서를 위장한 ‘마콥(Makop)’ 랜섬웨어 유포 사례도 발견된 만큼 채용 관계자 주의를 당부한다고 조언했다.

랜섬웨어는 ‘몸값(Ransom)’과 ‘소프트웨어(Software)’의 합성어다. 시스템을 잠그거나 데이터를 암호화해 사용하지 못하도록 한 뒤 금전을 요구하는 악성 프로그램이다.

이력서와 포트폴리오를 담은 것처럼 위장한 압축 파일. 지원자 이름인 것처럼 파일명을 꾸며 채용 관계자 의심을 벗어나려는 수법을 보인다. / 안랩 제공
이번 공격은 이력서를 보내는 것처럼 꾸민 메일에 악성 파일을 담았다. 공격자는 "공고를 본 지는 조금 되었지만 지원한다"며 "이력서와 포트폴리오를 같이 보낸다"고 메일에 적었다. 모집 기간이 아니더라도 기업 담당자가 해당 파일을 열어보도록 하는 등 메일 수신자 의심을 피하기 위해서다.

메일에 담긴 첨부 파일에는 특정인 이름을 제목으로 한 압축 파일(확장자명: .tgz)을 첨부했다. 파일을 압축 해제하면 ‘포트폴리오(200317)_뽑아주시면 열심히하겠습니다’와 ‘입사지원서(200317)_뽑아주시면 열심히하겠습니다’라는 제목의 파일이 나타난다. 두 파일 모두 PDF 문서로 보이지만 실제로는 아이콘을 바꿔 위장한 실행 파일(확장자명: .exe)이다.

만약 사용자가 해당 악성 파일을 실행하면 넴티 랜섬웨어에 감염된다. 넴티는 2019년 처음 등장한 랜섬웨어 신형이다. 기업의 공개된 그룹 메일 주소에 입사지원서나 공문 등으로 위장한 피싱 메일을 발송해 공격한다.

안랩은 이같은 랜섬웨어 감염을 막기 위해서는 출처가 불분명한 메일의 첨부 파일을 열어보지 말아야 한다고 강조했다. 파일 확장자명을 숨겨 공격하는 만큼 PC에서 ‘알려진 파일형식의 확장명 숨기기' 설정도 해제해야 한다.

운영체제(OS)와 각종 인터넷 브라우저(인터넷 익스플로러, 크롬, 파이어폭스 등), 응용 프로그램(어도비, 자바 등), 오피스 소프트웨어(SW) 등의 프로그램에 최신 보안 패치를 적용하는 것도 방법이다. 최신 버전의 백신을 사용하고 중요 데이터는 별도 보관 장치에 백업하는 일도 필수다.

이보원 안랩 분석팀 주임은 "코로나19(신종 코로나바이러스 감염증) 사태로 비대면 채용 등의 이메일 소통이 많아지면서 유사 공격이 늘어날 수 있다"며 "기업 내 PC 사용자일수록 보안 수칙을 습관화해 주의해야 한다"고 말했다.
파일 확장자명을 올바르게 확인하는 방법을 알리는 동영상. / 삼평동연구소 유튜브 채널