입사 지원서로 위장한 피싱 메일, 어떻게 대응해야 할까?
[IT동아 이상우 기자] 구인구직 사이트는 기업이 인력을 확충할 때 채용 관련 소식을 알리는 대표적인 수단이다. 구직자는 이러한 사이트에서 기업에 대한 정보와 채용 소식을 확인하고 입사 지원서를 제출한다. 그런데, 이런 사이트에서 기업 정보를 확인하는 것은 구직자만이 아니다. 여기 공개된 기업 정보를 바탕으로 해커가 피싱 메일을 보낼 가능성도 있기 때문이다.
우선 아래 사진을 보자. 입사 지원이라는 제목과 함께 공고를 보고 연락했다는 본문과 이력서라는 이름의 압축파일을 첨부했다. 구인 중인 기업이라면 이러한 메일을 확인하고 이력서라는 이름의 첨부파일을 내려받아 확인해볼 것이다. 하지만 이는 아주 위험한 행동이다.
메일을 살펴보면 우선 도메인이 주로 사용하지 않는 '@organisationnavils.site'로 돼 있으며, 파일 확장자는 '.alz'다. 이러한 도메인을 사용하는 이유는 다양하다. 대표적인 이메일 서비스는 파일 첨부 시 바이러스 검사 기능을 갖추고 있기 때문에 악성 파일을 첨부한 피싱 메일을 보내기 어려우며, 이처럼 독특한 도메인을 사용할 경우 누군가를 특정하거나 추적하기 어렵기 때문기도 하다.
.alz 확장자는 이스트소프트 알집에서 사용하는 압축 파일 형태 중 하나다. 이 확장자 자체가 나쁜 것은 아니다. 하지만 국내에서 많은 기업 혹은 개인이 압축 소프트웨어로 알집을 사용하는 만큼 이러한 형태로 압축해 보내는 경우가 많다. 같은 맥락에서 몇 년 전에는 .egg를 주로 사용했다. 실제로 최근 헤드헌터 커뮤니티에서도 이러한 메일이 발견됐다며, 주의를 당부하는 게시물이 올라오기도 했다.
이 압축 파일을 열어보니 PDF라는 이름으로 파일을 보냈지만, 실제로 파일 속성은 실행파일(.exe)다. 필자가 받은 첨부파일의 경우 실행파일의 속성은 '다운로더'로, 이를 실행할 경우 알 수 없는 소프트웨어가 자동으로 설치된다. 이 경우 랜섬웨어 혹은 크립토재킹을 위한 악성 소프트웨어일 가능성이 크다.
랜섬웨어라면 PC가 암호화돼, 해커에게 일정 비용을 지불하지 않으면 자신의 저장장치에 있는 파일을 사용할 수 없게 된다. 개인용 컴퓨터는 물론, 기업용 컴퓨터에서도 이러한 랜섬웨어는 데이터 자산을 손실할 수 있는 중대한 위험이다. 크립토재킹일 경우 내 PC가 모네로 같은 암호화폐 채굴기로 바뀐다. 이 때문에 PC가 원하는 성능을 낼 수 없는 것은 물론, 과부하로 인해 PC 수명이 짧아질 수도 있다.
간혹 실행파일만 조심하면 된다고 인식하는 사람도 있지만, 이는 잘못된 판단이다. 일반적인 문서 파일이나 이로 위장한 바로가기 파일을 실행하더라도 명령 프롬포트를 통해 숨겨진 실행파일을 작동시킬 수 있기 때문에 주의가 필요하다.
그렇다면 이러한 공격을 막기 위해서는 어떤 조치를 해야 할까? 가장 먼저 믿을 만한 안티 바이러스 소프트웨어를 사용하는 것이다. 잘 알려진 안티 바이러스 소프트웨어는 이미 발견된 악성 파일은 물론, 이와 유사한 형태로 코딩된 소프트웨어, 출처를 알 수 없는 소프트웨어 등을 자동으로 차단하고 삭제한다. 필자 역시 압축을 푸는 동시에 해당 실행 파일이 자동으로 삭제됐다.
MS 워드, 엑셀 등의 설정 역시 기본 상태로 두는 것이 좋다. 기본 설정 상태에서는 외부에서 받은 문서 파일을 실행했을 때 매크로 등이 자동으로 작동하지 않도록 차단하고 있기 때문이다.
별도의 백신을 사용하고 있지 않다면, 윈도우 운영체제에 포함된 윈도우 디펜더의 랜섬웨어 방지 기능을 활용하는 것도 좋은 방법이다. win + i 단축키로 설정 창을 연 뒤 업데이트 및 보안 항목을 선택하고, windows 보안 탭의 '바이러스 및 위협 방지' 항목을 선택한다. 이후 가장 아래 있는 랜섬웨어 방지 항목을 선택하고 기능을 켜면 자신이 직접 보호할 폴더를 선택할 수 있다. 이 경우 외부 소프트웨어(랜섬웨어)에 의해 파일이 암호화되는 등의 사고를 예방할 수 있다. 물론 이러한 폴더를 직접 다른 소프트웨어를 통해 사용하려면 '제어된 폴더 액세스를 통해 앱 허용' 항목을 통해 접근을 허용할 소프트웨어를 선택할 수도 있다. 참고로 이 기능은 다른 백신이 없을 때만 사용할 수 있다.
가장 중요한 것은 의심스러운 이메일은 열어보지 않는 것이다. 구인구직 사이트를 통해 채용공고를 올렸다면 이 사이트를 통해 받은 입사 지원서를 확인하는 것이 최선이다. 또한, 앞서 언급한 것처럼 독특한 도메인을 사용한 이메일 역시 의심해봐야 하며, 내려받은 파일에 exe 등 실행 파일이 포함돼 있다면 삭제하는 것이 좋다.
이번 사례에서는 입사 지원서를 위장한 피싱 메일을 소개했지만, 실제로 기업이나 개인이 받을 수 있는 피싱 메일 종류는 더 다양하다. 저작권 위반과 관련한 경고 메일, 특정 인터넷 서비스를 사칭한 개인정보 탈취, 민감한 사진이나 동영상을 가지고 있다는 협박 등 셀 수 없이 많다. 이러한 메일에는 무대응이 원칙이다.
글 / IT동아 이상우(lswoo@itdonga.com)