최근 경기가 어려워짐에 따라 기업들이 채용을 많이 줄이고 있는데요. 하지만 사람인이나 잡플래닛 같은 사이트를 보면 여전히 채용 공고가 활발히 올라오고 있는 것 같습니다. 보통 기업들에서 채용공고 사이트를 이용하여 지원자들의 이력서를 받고 있지만, 많은 수의 기업들이 직접 메일을 통해서 이력서를 받고 있죠.
그런데 해커들이 이러한 기업들을 노리고 랜섬웨어를 이력서로 위장하여 기업의 인사팀에게 보내고 있는 것이 확인되었다고 하는데요. 그래서 오늘은 간단히 랜섬웨어로 위장한 이력서 메일 사례에 대해 말씀드리도록 하겠습니다.
일단 해당 메일에서는 "언제나 미소를 가지고 준비된 지원자입니다"라는 제목을 가지고, 비밀번호가 설정된 이중 압축파일 형태의 첨부파일이 존재한다고 합니다. 압축파일을 해제하면 한글 파일과, 엑셀 파일로 위장한 두 개의 실행파일이 담겨있었습니다.
이 파일들 중 하나는 랜섬웨어인 록빗(LockBit) 3.0, 다른 하나는 정보탈취 악성코드인 비다르(Vidar)가 실행됩니다. 랜섬웨어의 경우 데이터를 암호화하여 비트코인과 같은 몸값을 요구하고, 정보탈취 악성코드는 시스템 정보를 수집하여 해커의 C&C 서버로 전송하겠죠.
사실 어느 정도 컴퓨터에 익숙하신 분들이라면, 압축 파일을 열 때 아이콘이 실행 파일로 되어 있다면 악성코드로 위장한 녀석인 것을 쉽게 파악하실 수 있습니다. 하지만 아이콘을 PDF나 DOC 같은 문서 아이콘으로 바꿔서 만드는 경우도 있기 때문에 결국은 확장자를 확인해 보셔야겠죠.
또한 PC에 안티 바이러스나 EDR과 같은 보안 솔루션이 설치되어 있다면 행위 분석을 하는 엔진에 의해, 모르고 실행시켰더라도 어느 정도 방어가 될 수 있습니다. 물론 보안 솔루션만으로 100% 안전하다고 할 순 없으니 첨부 파일은 잘 확인하셔야 합니다.
어느 정도 규모가 있는 기업에서는 메일 서버를 구축할 때, 메일 보안 솔루션을 사용하기 때문에 저렇게 악성코드로 위장한 메일이 쉽게 차단된다고 생각하실 수 있는데요. 일반적으로 메일 보안 솔루션도 이번 사례와 같이 비밀번호가 걸린 압축 파일로 되어 있다면 내부 파일을 확인할 수 없기 때문에 차단이 불가능하다고 보셔야 합니다.
그렇기 때문에 보안 솔루션이 잘 구축되어 있다 하더라도 너무 솔루션만 믿지 마시고, 외부에서 보낸 메일을 확인할 때는 반드시 이상한 점이 없는지 한번 더 확인하셨으면 합니다. 그럼 이번 글은 여기서 줄이도록 하죠. 읽어주셔서 감사합니다.
'Security Essay' 카테고리의 다른 글
비밀번호 MD5로 저장한 유럽 기업 벌금 부과 (0) | 2023.01.17 |
---|---|
문서 악성코드 무료 분석 및 무해화 서비스 (0) | 2023.01.16 |
사회복무요원 개인정보 처리 업무 지시 논란 (0) | 2023.01.14 |
세상에서 가장 흔한 비밀번호는 무엇일까? (0) | 2023.01.09 |
무단으로 전화번호를 수집하는 PUP 프로그램 (0) | 2023.01.08 |
댓글