세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
채용사이트 기재된 인사담당자 타깃 랜섬웨어 집중 유포
  |  입력 : 2018-05-11 11:35
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
구직사이트 사람인, 온라인 입사 지원으로 위장한 랜섬웨어 메일 주의 공지
이력서 첨부 바로가기 링크 넣어 감염 유도...백신 최신버전 업데이트 등 보안 필수
갠드크랩 랜섬웨어 유포 위한 악성 URL, 21개국에서 총 109개 발견


[보안뉴스 김경애 기자] 최근 채용공고 및 구인구직사이트에 기재된 인사담당자를 타깃으로 랜섬웨어가 집중 유포되고 있는 것으로 드러났다. 특히, 본지가 여러 차례 보도한 바 있는 입사지원자로 위장해 가짜 ‘이력서’를 첨부하고, 지원하고 싶다는 내용을 함께 기재해 이용자를 현혹하고 있어 이메일 확인에 세심한 주의를 기울여야 한다.

▲9일 입사지원 메일로 위장한 랜섬웨어 주의 공지 화면[이미지=사람인]


지난 9일 채용사이트 사람인 측은 “최근 채용정보에 기재된 인사담당자의 이메일로 입사지원자를 사칭한 랜섬웨어 바이러스 메일이 발송되고 있다”며 공지했다.

이어 다음 날인 10일에도 ‘[긴급] 이메일 지원으로 위장된, 바이러스 메일 주의 2차 공지’ 제목으로 랜섬웨어 감염 가능성을 경고했다.

▲10일 이메일 지원으로 위장한 랜섬웨어 유포 주의 공지 화면[이미지=사람인]


사람인에 기재된 인사담당자들에게 발송된 악성코드는 랜섬웨어로 확인됐는데, 이 외에도 출처가 불분명한 이메일을 통해 랜섬웨어를 유포하는 사례가 계속 포착되고 있다. 공격자는 이용자가 이메일을 열어보도록 유도하기 위해 이력서, 교통범칙금 납부, 저작권 위반 등으로 위장하는 수법을 사용하고 있다.

이번 사건에서도 공격자는 ‘최근에 사람인에서 마케팅, 광고, 분석(온라인마케팅 외 3개 부문) 분야 채용 공지를 보고 이력서를 첨부했다’며 연락처와 이메일 주소를 남겨 놓았다. 특히, 이용자들이 쉽게 감염될 수 있도록 ‘이력서를 첨부하였습니다.’란 문구의 링크가 포함돼 있다. 또 다른 사례도 마찬가지다. 윈도우 바로가기 파일(lnk) 또는 윤지안.egg 첨부파일과 같이 압축파일 형태로 첨부해 인사담당자가 클릭하도록 유도하고 있다.

이와 관련 이스트시큐리티 알약 블로그에서는 “며칠 전부터 국내 취업전문 웹사이트의 채용정보에 기재된 기업 인사담당자의 이메일로 집중 공격하고 있어 피해가 연이어 보고되고 있는 실정”이라며 “이전에는 주로 이메일에 압축된 형태로 악성파일(LNK, EXE, DOC)을 첨부해 사용했는데, 최근에는 이메일 본문에 악성 URL 링크를 한글로 연결시켜 클릭을 유도하고, 다운로드된 압축파일 내의 'resume.js' 스크립트 파일로 랜섬웨어가 설치하도록 변경한 상태”라고 분석했다.

▲이미지 도용으로 사칭한 랜섬웨어 유포 화면[이미지=누리랩]


문제는 입사지원서 뿐만 아니다. 이미지 도용을 사칭한 랜섬웨어 유포 행위도 계속 발견되고 있다. 공격자는 메일에 자신이 제작한 이미지를 무단으로 사용했다며 이미지 도용 관련.egg 파일을 첨부해 저작권 위반을 빌미로 이용자의 첨부파일 다운을 유도하고 있다.

누리랩 최원혁 대표는 “입사지원 뿐만 아니라 다양한 형태의 랜섬웨어 이메일이 접수되고 있다”며 “사용하는 이미지에 자신의 이미지를 사용하고 있다며 저작권 위반으로 신고하지는 않을테니 자신이 첨부한 이미지를 확인해서 해당 이미지를 삭제해 달라는 내용을 담고 있다. 이용자는 첨부파일 내부에 확장자가 exe 형태로 존재한다면 일단 의심해봐야 한다”고 강조했다.

▲갠드크랩 유포 위해 주요국가 URL 악용 집계 현황[그래프=제로써트]


더욱이 랜섬웨어 공격자들은 추적을 피하기 위해 전 세계 URL을 악용하는 등 지능적인 공격 양상을 보이고 있다. 위협정보 공유 서비스를 제공하는 제로써트 측에서 조사한 doc.php 링크와 연결된 주요 국가 갠드크랩 랜섬웨어 URL 집계 현황을 살펴보면 5월 9일부터 5월 10일 오후까지 약 109개 악성URL이 탐지됐다. 국가별로는 미국 28개, 태국 21개, 일본 12개, 중국 6개, 프랑스 6개, 영국 6개, 홍콩 6개, 독일 4개, 캐나다 3개, 네덜란드 3개, 싱가포르 3개, 이스라엘 2개, 덴마크 1개, 아일랜드 1개, 인도 1개, 아이슬란드 1개, 노르웨이 1개의 URL이 악용된 것으로 집계됐다.

이에 따라 채용공고 사이트를 이용하는 기업의 인사담당자들은 랜섬웨어에 감염되지 않도록 각별히 주의해야 한다. 이와 관련 사람인 측은 “해당 메일에 첨부된 파일 및 링크는 절대로 실행하지 말고, 다운로드 받은 파일은 바로 삭제할 것”을 당부하며, “수신한 메일을 바로 삭제한 후 바이러스 검사를 반드시 수행할 것”을 권장했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
WD 파워비즈 2017-0305 시작비츠코리아 파워비즈시작 2017년7월3일
설문조사
오는 7월부터 근로시간이 주 52시간으로 단축되는 조치가 점차적으로 시행됩니다. 이번 조치가 보안종사자들과 보안업계에 미칠 영향은?
보안인력 확충과 워라벨 문화 확산으로 업계 근로여건 개선
보안인력 부족, 인건비 부담 상승으로 업계 전체 경쟁력 약화
기타(댓글로)