[아이티데일리] 기업 하반기 채용 시즌이 본격화됨에 따라, 이를 노린 랜섬웨어 공격이 급증하고 있다. 특히 이력서, 입사지원서, 포트폴리오 등 관련 문서 파일로 위장하고 있어, 관련 파일을 열 때 확장자를 확인하는 등 각별한 주의가 필요하다.

16일 안랩(대표 강석균)은 최근 채용 관련 문서 파일로 위장한 랜섬웨어 유포 정황을 발견, 인사담당자들의 각별한 주의가 필요하다고 발표했다. 이번에 발견된 랜섬웨어 공격은 ▲‘이력서_200824(경력사항도 같이 기재하였으니 확인부탁드릴께요 열심히 하겠습니다 감사합니다)’ ▲‘입사지원서_20200907(경력사항도같이기재되어있습니다 참고바랍니다 열심히하겠습니다)’ 등 제목을 사용해 채용 지원 문서로 위장해 인사담당자를 속이고 있다.

이러한 악성 파일은 한글 및 PDF 등 정상 문서파일의 아이콘을 사용해 담당자를 속인다. 실상은 악성코드를 포함한 .exe 실행파일이며, 이를 실행할 경우 즉시 랜섬웨어에 감염된다.

양하영 안랩 분석팀 팀장은 “이번 채용 파일 위장 랜섬웨어는 취업시즌을 맞아 기업이나 기관 인사담당자를 노렸을 가능성이 높다”며, “부주의로 인해 기업 및 기관에 피해가 발생할 수 있는 만큼 확장자 확인, 출처가 불분명한 메일의 첨부 파일 및 URL 실행 금지 등 기본보안수칙을 준수해야 한다”고 강조했다.

랜섬웨어 감염을 예방하기 위해서는 ‘파일 확장자명 숨기기 설정’을 해제해 실제 파일 확장자를 확인해야 한다. 또한 출처가 불분명한 메일의 첨부파일 및 URL을 실행하지 말아야 하며, OS(운영체제) 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 오피스 SW, 안티바이러스 등 프로그램 최신 패치 적용 등 기본 보안 수칙을 준수해야 한다.

만약 랜섬웨어에 감염됐다면, 즉시 인터넷 연결을 차단해 다른 PC 또는 백업 서버 등으로 전파되는 것을 막아야 한다. 백업이 돼 있다면 포맷한 뒤 복구를 할 수 있지만, 백업을 하지 않았을 시에는 ‘노모어랜섬(nomoreransom)’, ‘KISA 암호이용활성화’ 홈페이지를 통해 복구 툴을 찾아보는 것도 하나의 방법이다. 복구 툴과 백업 파일이 없다면 복원은 포기하는 것이 좋다. 랜섬노트에서 요구하는 비용을 지불하더라도 복구가 보장되지 않는다는 점을 명심해야 한다.