침해사고/위협동향

채용시즌 노린 해킹공격 기승... "입사지원서로 위장한 랜섬웨어 유포"

홍하나

[디지털데일리 홍하나기자] 2019년 상반기 채용시즌이 다가오면서 이를 노리는 랜섬웨어가 또다시 발견됐다. 해커들이 랜섬웨어를 입사지원서로 위장해, 기업들의 금전을 갈취하고 있는 정황이 포착된 것. 충격적인 것은 실제 채용중인 기업들을 대상으로 공격이 이뤄지고 있으며, 그 수법도 이전보다 더욱 교묘해지고 있다는 것이다.

8일 안랩, 이스트시큐리티 등 보안업계에 따르면, 랜섬웨어의 일종인 갠드크랩 5.1버전 이메일 첨부 파일 형태로 입사지원서로 위장해 기업들을 대상으로 유포되고 있다. 이메일 본문에는 첨부 파일 실행을 유도하는 내용이 포함됐다. 이를 누를 경우 랜섬웨어인 갠드크랩에 감염된다.

갠드크랩은 공개키 방식으로 파일을 암호화하는 랜섬웨어다. 사용자 PC를 감염시킨 뒤 파일을 암호화하고 암호화폐를 요구하는 방식이다. 2018년 1월 러시아 해킹 커뮤니티에서 처음으로 발견됐다. 이후 진화를 거듭해 현재 갠드크랩v5.1이 유포되고 있다.

특히 입사지원서를 위장한 갠드크랩은 기존에 유포됐던 것보다 고도화됐다. 이스트시큐리티는 “기존에 비너스락커 조직에서 유포하던 갠드크랩 랜섬웨어는 주로 5.0.4버전이 많이 활용됐는데 지난 달부터 갠드크랩 랜섬웨어의 버전이 5.1버전으로 업데이트됐다“고 설명했다.

이 압축 파일 내부에는 문서 파일(.doc), 이미지 파일(jpeg), 링크 파일(.lnk), 파워포인트 파일(.ppt) 등이 포함되어 있다. 이 랜섬웨어는 바로가기 파일을 통해 실행된다. 바로가기 파일(.lnk)이 실행되면 이미지 파일과 문서 파일로 위장한 악성 파일이 실행되는 방식이다.

악성코드 감염이 진행되는 동안 사용자를 속이기 위해 화면에는 정상 문서 파일이 나타난다. 이후 랜섬웨어 동작이 완료되면 바탕화면에 감염 사실을 알리는 문구가 뜬다. 또 PC에 저장된 파일이 암호화되고 임의의 문자열로 확장자가 변경된다.

그런 다음 해커는 PC사용자에게 복호화를 조건으로 암호화폐를 요구한다. 하지만 이번의 경우 암호화폐를 지불하더라도 복호화를 보장할 수 없다는 것이 보안업계의 의견이다. 안랩의 ASEC대응팀은 “제작자에게 비트코인을 전송하더라도 파일의 암호화 해제는 장담할 수 없다”며 “데이터 손실과 더불어 금전적인 피해까지 입을 수 있다는 의미”라고 경고했다.

이처럼 입사지원서를 위장한 랜섬웨어는 지난해부터 기승을 부리기 시작해 점점 교묘해지고 있다. 심지어 얼마 전에는 특정 기업의 명칭을 거론하며 랜섬웨어가 유포된 정황이 발견됐다. 이스트시큐리티에 따르면, 최근 해커는 특정 소셜커머스 회사의 특정 직군에 지원하는 것처럼 입사지원서를 위장했다. 실제로 이 기업은 현재 해당 직군의 인력을 채용중인 것으로 나타나 더욱 충격을 안겼다. 이제 해커들도 무작위로 기업들에 랜섬웨어를 유포하기보다, 특정 기업을 노리고 그에맞는 공격을 수행하는 것으로 보인다.

이스트시큐리티의 문종현 이사는 “출처가 불분명한 사용자에게서 온 이메일에 포함된 하이퍼링크 혹은 첨부파일 클릭을 지양해야 하며, 파일을 실행하기 전 백신 프로그램을 이용해 악성 여부를 꼭 확인해달라”고 당부했다.

<홍하나 기자>hhn0626@ddaily.co.kr

홍하나
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널