채용시장 활기 노렸나? 입사지원서 위장 랜섬웨어, 메일로 유포

안랩 ASEC 분석팀, 최근 입사지원서 위장 ‘Makop’ 랜섬웨어 유포 주의 당부
기업들의 상반기 채용 진행 등 채용시장 활기 노려 기업 채용담당자 타깃으로 유포

[보안뉴스 권 준 기자] 코로나19 장기화에 따라 디지털 트랜스포메이션((DT)과 비대면 환경이 급속도로 진전되면서 개발자들을 위시한 IT 인력들의 몸값이 치솟는 등 채용시장이 점차 활기를 띠고 있는 가운데 입사지원서로 위장한 랜섬웨어가 또 다시 등장했다.

▲입사지원서로 위장한 메일 내용[자료=안랩 ASEC 분석팀]

안랩 ASEC 분석팀은 최근 입사지원서로 위장한 ‘Makop’ 랜섬웨어가 이메일을 통해 유포되는 것을 확인했다고 밝혔다. 요즘 많은 기업들의 상반기 채용이 진행되고 있는데, 이에 맞춰 채용 담당자를 타깃으로 유포하고 있어 채용 담당자 메일 계정에 대한 관리 및 주의가 필요하다는 설명이다.

ASEC 분석팀에 따르면 메일은 지원자의 이름으로 추정되는 형식의 제목으로 유포되고 있으며, 랜섬웨어는 이름과 비밀번호를 포함한 압축파일로 된 첨부파일에 포함돼 있는 것으로 분석됐다.

이번에 발견된 악성 메일은 메일 보안 시스템을 우회하기 위해 압축 비밀번호를 설정했으며, 압축 비밀번호는 첨부파일명에 같이 적혀 있어 압축을 풀게 되면 ‘이력서포트폴리오_210412(열심히 하겠습니다 잘 부탁드립니다).exe’와 ‘입사지원서_210412(열심히 하겠습니다 잘 부탁드립니다).exe’ 파일 2개를 확인할 수 있게 된다.

해당 파일들은 엑셀 아이콘으로 위장된 실행 파일(EXE)이며 두 파일은 같은 파일이나 파일명만 다르게 작성되어 있다. 해당 파일을 실행하게 되면 아무런 메시지 없이 자동으로 파일 암호화가 이루어지며 파일명과 확장자가 ‘A.pdf’에서 ‘A.pdf.[랜덤문자 8글자].[pecunia0318@airmail.cc].pecunia’로 변경되는 것으로 나타났다.

▲파일 암호화 전과 후[자료=안랩 ASEC 분석팀]

또한, 암호화된 폴더마다 readme-warning.txt 랜섬노트 파일이 생성되게 되며, 해당 랜섬노트를 확인해보면 아래와 같은 글이 적혀 있다.

▲해당 랜섬웨어 랜섬 노트[자료=안랩 ASEC 분석팀]

안랩 ASEC 분석팀은 “해당 랜섬웨어의 파일 암호화 후 추가되는 확장자는 ‘Pecunia’이지만 유포 방식 및 랜섬노트 내용과 파일 암호화 후 파일명이 변경되는 형식이 기존 Makop 랜섬웨어 같은 것으로 보아 동일한 종류로 파악된다”며, “Makop 랜섬웨어는 1년 전부터 이러한 방식으로 유포를 꾸준히 진행하고 있어 지속적으로 주의가 필요하다”고 당부했다.
[권 준 기자(editor@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)