인사담당자를 노린 랜섬웨어가 위험 수준이다.
유명 취업사이트를 이용해 인력 채용을 하는 기업에 '랜섬웨어' 경계령이 내렸다.
S채용 사이트에 채용 공고를 올린 40여곳이 넘는 기업이 이력서를 가장한 랜섬웨어 공격에 피해를 입었다. S채용 사이트는 긴급공지를 올리고 주의를 당부했지만 피해 기업은 계속 늘고 있다. S채용 사이트는 관계 기관에 신고하고 분석을 의뢰 중이라고 밝혔다.
이스트시큐리티에 따르면 S채용 사이트 공고와 지원 문의로 교묘하게 위장된 갠드크랩(GandCrab) 랜섬웨어 피해가 속출해 인사담당자 주의를 요구했다. S채용 사이트를 이용한 고객 대부분에 공격이 감행된 정황이다.
해커는 각 기업 채용 현황을 면밀히 파악해 공격했다. 기업마다 채용하는 직군이 다른데 내용에 맞춰 이메일 내용을 작성했다. 인사담당자가 해당 이메일에 첨부된 파일을 보게 치밀하게 준비했다.
공격자는 이메일에 링크를 포함시키거나 윈도 바로가기 파일, 압축 파일 형태로 랜섬웨어를 유포했다. 입사지원서 본문에 악성 URL링크를 한글로 연결 시켜 클릭을 유도했다. 다운로드된 압축파일 내 이력서를 뜻하는 'resume.js' 스크립트 파일로 랜섬웨어를 설치한다.
인사담당자가 해당 링크를 클릭하면 IP주소가 미국 소재인 특정 대만기업 웹사이트와 통신한다. 발신자 이메일 ID처럼 위장한 압축파일이 프랑스 소재 서버에서 다운로드된다. 공격자는 명령&제어(C2) 서버에 시간차를 두고 변종 실행 파일을 등록해 새로운 랜섬웨어를 지속해 유포한다.
입사지원서.egg 압축파일 형태도 있다. 이메일에 지원서와 자격증사본 등을 첨부했다. 입사담당자가 바로가기 파일을 실행하면 갠드크랩 랜섬웨어에 감염된다.
랜섬노트는 토르 웹 브라우저 등 경로로 결제를 요구하는 내용을 담고 있다. 공격자는 파일 복구 비용으로 1.53 대시(DASH)를 요구한다. 대시는 비트코인보다 익명성이 강화돼 추적이 불가한 암호화폐로 알려졌다.
S사이트는 채용 공고를 등록할 때 인사담당자 이메일 주소를 '비공개'로 해달라고 당부했다. 지원자 모집 방법을 이메일이 아닌 사이트 내 지원으로 선택하면 악용을 방지한다고 덧붙였다.
S사이트 공지 댓글에는 이미 피해를 입은 인사담당자 피해 글이 40여개가 올라왔다. 보안업계는 현재 갠드크랩 랜섬웨어 감염률이 평상시 보다 5배나 많다고 분석했다.
문종현 이스트시큐리티 이사는 “발견되는 이메일 내용과 첨부 링크 내용도 다르다”면서 “해커가 한국을 표적으로 맞춤형 공격을 지속 감행해 주의가 요구된다”고 설명했다.
김인순 보안 전문기자 insoon@etnews.com