중소기업을 노리는 이력서 위장 랜섬웨어 공격 헌팅가이드

<aside> 🚫 안내 사항

본 헌팅가이드(보고서)는 국내에 발생하고 있는 유사 침해사고의 피해 확산 방지를 목적으로 작성되었습니다. 모든 소유권은 한국인터넷진흥원(KISA)에 있습니다. ※ 정보통신망법 제48조의4 제2항(침해사고의 원인분석 및 피해확산 방지 등)
또한, 본 가이드를 ▲유관기관에 제공/재배포, ▲온라인 공개/게재, ▲보안제품 활용 등에 있어 발생하는 모든 법적 책임은 귀기관에 있습니다.
기타 문의 및 신고는 아래를 참고하여 주시기 바랍니다.
- 기업 침해사고 신고 : https://boho.or.kr (KISA 보호나라)
- 기업 랜섬웨어 신고 : https://stopransom.boho.or.kr (KISA STOP 랜섬웨어)
  - 페이지내 '랜섬웨어란?', '예방방법', '복구절차', '신고하기' 메뉴 활용 </aside>

1. 개요

한국인터넷진흥원(KISA)은 위협 분석을 통해 특정 사이버 범죄 조직이 2016년부터 구직자로 위장해 중소기업의 채용 담당자에게 이력서 관련 해킹 메일을 발송하고, 이를 통해 랜섬웨어를 감염시켜 금전을 요구하는 공격이 지속적으로 발생하고 있음을 확인했습니다.
최근까지 기업을 대상으로하는 공격이 꾸준히 발생하고 있으며, 공격 방식도 점점 교묘해져 금전적인 피해가 커지고 있습니다. 또한, 랜섬웨어뿐만 아니라 정보 유출을 초래하는 악성코드도 함께 유포되고 있어, 파일 암호화뿐만 아니라 기업의 정보 유출 위험에도 각별한 주의가 필요합니다.
본 가이드는 기업 채용 담당자와 일반 직원들을 대상으로 “구직자(이력서) 사칭 해킹메일”을 이해하고 관련 피해 예방을 돕기 위해 작성되었습니다.

<aside> ⚠️ 실제 피해 사례
- 업종 : 금융 및 보험관련 서비스업
- 공격 방식 : 채용 담당자 이메일 확보(채용공고)→해킹메일 발송→랜섬웨어 감염
- 피해액 : 0.05 BTC 요구(약 500만원) </aside>

공격자는 기업 채용공고(구인구직 사이트), 홈페이지에 등록된 이메일 주소를 수집하여 구직자 사칭 해킹메일을 발송합니다. 메일에 첨부된 파일 또는 링크 실행 시 악성코드에 감염되며, 파일 암호화(랜섬웨어) 및 정보유출 행위를 수행합니다.
포털사이트 검색을 통해 채용게시물 확인 및 담당자 연락처 확보

<실제 구인구직 게시물>
랜섬웨어 감염 시 문서와 이미지 파일을 암호화하고 바탕화면을 변경합니다.

<랜섬웨어 실제 감염 PC>
암호화된 파일을 복구하기 위해서는 공격자와 협상이 필요하며, 가상자산 비트코인(BTC)을 요구합니다.

🖐️ 공격자에게 비트코인을 전송하여도 파일 복구(복호화)는 보장되지 않아요!

<랜섬웨어 감염 후 생성되는 안내문(랜섬노트)>

유형-1 : 메일 본문 내 링크 클릭 유도
- 링크 클릭 시 외부 경유지(URL)를 통해 악성코드 다운로드
  
  <악성 링크가 삽입된 해킹메일>
유형-2 : 첨부파일에 포함된 악성코드 실행 유도
- 이력서로 위장된 첨부파일 열람 및 실행 시 악성코드 감염(악성문서, 압축 등)
  
  <압축 내 악성코드가 포함된 해킹메일>
  
  <악성 워드파일이 첨부된 해킹메일>

압축파일 해제 시 문서 아이콘으로 위장된 실행파일(EXE) 존재, 실행 유도

<압축 파일 내부에 존재하는 악성코드(EXE)>

<문서 아이콘으로 위장한 악성코드(EXE)>
문서파일(워드, 엑셀 등) 열람 시 매크로 실행 “콘텐츠 허용” 유도

<악성 문서파일에 삽입된 매크로 실행 유도>

공격 패턴 파악 : 메일 제목과 발신자를 확인하고 메일 열람 시 주의합니다.

<aside> ✅ 예방 포인트 #1
- 키워드 : 이력서, 성실함, 입사지원서 , 구직지원, 열심히, 열정적인, 꼼꼼한, 금방 적응, 긍정적이고, 포트폴리오, 일처리
- 발신자 : &`강 유빈 03@., Ha 이준 97~^, SDB0407, LDD0202, DNN0403, SBP0519 등
- 발신주소 이메일 : 2023년 이전에는 해외 탈취 도메인 및 공격자 생성 도메인을 사용하였지만, 최근 정상 포털 도메인(naver.com, gmail.com, daum.net 등)을 사용하여 구분 제한 </aside>