“채용공고 보고 연락드립니다”…파일 열자 ‘컴퓨터 먹통’ 속출

[이데일리 이선영 기자] 최근 공기업 등을 대상으로 채용 공고를 보고 지원하는 구직자로 위장한 랜섬웨어 공격이 벌어진 사실이 확인됐다. 입사 지원서를 가장한 이메일에 첨부된 지원 서류를 열면 악성코드가 실행되는 방식이다.

입사지원서를 위장판 랜섬웨어 공격 메일. (사진=ESRC)

8일 ESRC(이스트시큐리티 시큐리티대응센터)는 입사 지원서 등을 가장한 피싱(phishing) 메일을 통해 락빗(LockBit) 랜섬웨어와 비다(Vidar) 악성코드가 유포되고 있다며 주의할 것을 당부했다.

랜섬웨어(Ransomware)란 몸값을 의미하는 랜섬(Ransom)과 소프트웨어를 의미하는 웨어(Ware)를 합성해 만든 단어다. 해킹 등 사이버공격으로 파일이나 시스템을 먹통으로 만든 후 이를 해제해주는 조건으로 돈을 요구하는 데 쓰인다.

이번 랜섬웨어 공격의 주 대상은 공기업 사용자였다. 채용 공고를 올린 기업의 인사 담당자에게 “채용 공고를 보고 연락드린다” “면접이나 출근은 어떤 시간에도 가능하다” 등의 메시지와 함께 입사 지원서처럼 보이는 압축파일을 메일에 첨부하는 방식으로 이뤄졌다.

압축파일을 클릭한 뒤 메일 본문에 적힌 비밀번호로 잠금을 해제하면 ‘exe’ 확장자의 실행파일이 숨겨져 있다. ESRC는 “파일명과 확장자 사이에 다수의 공백이 추가됐다”며 “한글 파일과 엑셀 파일의 아이콘을 사용해 (악성코드 실행 파일의) 실행을 유도하고 있다”고 설명했다.

이 파일이 실행되면 그 때부터 문제가 커진다. 이용자의 PC 내에 있는 로컬 드라이브나 연결된 네트워크 공유 드라이브, 공유 폴더들을 모두 암호화하고 확장자를 ‘락빗’(lockbit)으로 바꿔버린다. 파일 복구를 어렵게 하기 위해 볼륨 섀도우 복사본과 로컬 시스템 백업도 삭제해버린다. 랜섬노트 생성 및 바탕화면도 바뀐다. 그제서야 이용자는 자신의 컴퓨터가 랜섬웨어에 감염된 것을 알게 된다.

또 다른 공격도 있다. 역시 입사지원서를 가장해 정보탈취 악성코드인 Vidar 악성코드 변종을 배포하는 공격이다. 이용자가 이 파일을 실행하면 이용자의 PC가 외부에 접속되고 일련의 프로그램들이 PC에 깔린다. 이후 PC의 인터넷 브라우저에 저장된 정보나 여타 정보들을 털어간다.

ESRC는 “입사 지원서를 위장한 피싱메일을 통해 랜섬웨어와 악성코드를 유포하는 방식은 공격자들이 즐겨 사용하는 방식”이라며 “이번 공격은 주로 공기업 사용자를 대상으로 진행됐다”고 했다.