"채용공고 보고 연락드립니다", 열어봤더니 PC 먹통됐다

입사지원서를 가장한 랜섬웨어 공격 메일. 랜섬웨어 프로그램을 담은 악성코드 파일이 압축파일 형태로 첨부돼 있다. / 사진제공=ESRC

공기업 등을 대상으로 입사 지원서 등을 가장한 랜섬웨어 공격이 또 확인됐다.

8일 ESRC(이스트시큐리티 시큐리티대응센터)에 따르면 최근 락빗 랜섬웨어와 Vidar 악성코드가 입사지원서를 위장한 피싱(Phishing) 메일로 유포되는 상황이 파악됐다.

랜섬웨어(Ransomware)란 몸값을 의미하는 랜섬(Ransom)과 소프트웨어를 의미하는 웨어(Ware)를 합성해 만든 단어다. 해킹 등 사이버공격으로 파일이나 시스템을 먹통으로 만든 후 이를 해제해주는 조건으로 돈을 요구하는 데 쓰인다.

공격자는 채용공고를 내놓은 기업의 인사 담당자 등을 대상으로 "공고를 보고 지원 드린다" "언제나 열심히 하는 지원자이다" "면접이나 출근은 언제든 가능하다" 등의 메일 본문 메시지와 함께 자신의 신상정보를 담은 것처럼 보이는 압축파일을 보냈다. 압축파일은 비밀번호로 잠겨 있다. 비밀번호는 메일 본문에 나와 있었다.

압축파일 속에는 'exe' 확장자의 실행파일이 숨겨져 있다. ESRC는 "파일명과 확장자 사이에 다수의 공백이 추가됐다"며 "한글 파일과 엑셀 파일의 아이콘을 사용해 (악성코드 실행파일의) 실행을 유도하고 있다"고 설명했다.

이 파일이 실행되면 그 때부터 문제가 커진다. 이용자의 PC 내에 있는 로컬 드라이브나 연결된 네트워크 공유 드라이브, 공유 폴더들을 모두 암호화하고 확장자를 '락빗'(lockbit)으로 바꿔버린다. 파일 복구를 어렵게 하기 위해 볼륨 섀도우 복사본과 로컬 시스템 백업도 삭제해버린다. 랜섬노트 생성 및 바탕화면도 바뀐다. 그제서야 이용자는 자신의 컴퓨터가 랜섬웨어에 감염된 것을 알게 된다.

입사지원서 위장 랜섬웨어 공격에 당했을 때 뜨는 랜섬노트. 랜섬웨어 감염 사실과 이를 해제하기 위해 공격자가 요구하는 조치들이 기재돼 있다. / 사진제공=ESRC

또 다른 공격도 있다. 역시 입사지원서를 가장해 정보탈취 악성코드인 Vidar 악성코드 변종을 배포하는 공격이다. 이용자가 이 파일을 실행하면 이용자의 PC가 외부에 접속되고 일련의 프로그램들이 PC에 깔린다. 이후 PC의 인터넷 브라우저에 저장된 정보나 여타 정보들을 털어간다.

ESRC는 "입사 지원서를 위장한 피싱메일을 통해 랜섬웨어와 악성코드를 유포하는 방식은 공격자들이 즐겨 사용하는 방식"이라며 "이번 공격은 주로 공기업 사용자를 대상으로 진행됐다"고 했다.