구직자로 가장해 가짜 이력서를 보내는 표적공격이 발견됐다. 사진은 잉카인터넷대응팀이 발견한 `김영주 이력서`라는 악성파일 가짜이력서. 특정인의 개인정보도 담겨있어 정보유출도 우려된다.

각종 표적공격으로 진화하고 있는 사이버공격이 이번엔 채용시즌 기업 인사담당자들을 겨냥했다.

구직자로 가장해 가짜 이력서를 만들고 악성코드를 심어, 인사담당자가 해당 이력서를 열어보면 악성코드를 퍼뜨리는 방식이다.

29일 잉카인터넷대응팀은 이력서에 악성코드를 심어 표적공격을 하는 사례를 발견했다며 관련자들의 주의를 당부했다.

이번 표적공격은 특정인 이력서 파일로 위장해 유포됐다.

실제로는 자동압축해제 형식의 실행파일(SFX RAR) 형식이지만 확장자와 아이콘을 모두 `DOCX'라는 마이크로소프트 워드 문서파일로 보이도록 조작했다.

악성파일명은 `김영주 이력exe.docx'라는 이름으로 발견됐다.

실제로는 DOCX 문서파일이 아니라 조작된 EXE 파일이라는 것이 잉카인터넷 대응팀의 설명이다.

유니코드로 확장자의 순서가 변경됐기 때문에 윈도 폴더화면에서는 문서파일 확장자가 최종적으로 나타나지만 CMD 화면창에서 확인해 보면 실제로는 EXE 파일(실행파일)이라는 것을 확인해 볼 수 있다고 대응팀은 설명했다.

잉카인터넷 대응팀은 "공격자는 확장자 유니코드와 아이콘을 조작해 이용자로 하여금 문서파일로 인식하게 만든 후 실행을 유도하게 된다.

특히 이력서 파일로 위장해 특정 기업의 채용 구직 이메일로 둔갑한 후 표적공격에 은밀히 활용되고 있다"고 경고했다.

파일을 열어보면 정상적인 이력서로 보이는 `김영주 이력서.docx' 파일과 `SB360.exe'이름의 악성파일이 동봉돼 있고 이 파일이 자동으로 실행되면서 악성코드가 PC에 퍼지는 형태여서, 파일을 열어본 이용자는 자신이 악성코드 파일을 열었다는 것조차 모르게 된다.

대응팀은 "해당 이력서 내용에는 실제 특정 이용자의 개인신상 정보가 포함돼 있다"면서 "실제 구직자 정보가 외부로 유출돼 악용된 것으로 추정된다"고 설명했다.

악성파일은 중국이나 미국의 C&C(악성 명령제어) 서버로 접속을 시도하도록 구성돼 있으며 이를 통해 해커가 정보유출 및 추가 악성파일 설치 등의 침해공격을 시도할 수 있다.

대응팀은 "지능형 표적공격은 특정 기업이나 기관을 상대로 지속적인 공격을 수행하는데 문서파일처럼 위장한 악성파일은 육안으로 구분이 어려워 이용자들이 확장자에 이상한 점이 없는지 세심하게 살펴보는 보안습관이 중요하다"고 주의를 당부했다.

강은성기자 esther@


디지털타임스/2013.10.29