“구직자들, ‘구직사이트’ 제공 입사지원서 ‘요주의’”

구인구직사이트와 유사한 도메인, 악성 코드 유포 악성파일 날로 기승 이스트시큐리티 조사, “이메일 첨부파일 극도로 조심해야” 당부 “취업난 악용, 구직자들 울리는 악질적 행위”

2023-06-27     김향자 기자
(출처=이스트시큐리티)

[애플경제 김향자 기자]국내 구인구직 사이트와 유사한 도메인을 이용한 사이버 공격이 기승을 떨고 있다. 구인구직 사이트와 유사한 악성 URL을 이용하여 악성파일을 유포하고 있어, 특히 취업난으로 고통을 겪는 청년층과 구직자들을 더욱 힘들게 하고 있다.

실제 존재하는 ‘구직사이트’ 도메인 흉내

최근 국내 보안업체인 이스트시큐리티는 “이런 유형의 공격은 이미 지난 2021년 상반기 최초로 발견된 바 있다”면서 자체 조사를 통해 이같은 사실을 공개했다.

이스트시큐리티의 시큐리티대응팀은 “지난 4월 자체 ‘보안동향보고서’에서도 해당 공격의 수법과, 이들이 유포하는 악성 페이로드에 대해 분석을 진행한 적이 니다”면서 “최근 들어선 그 공격 빈도가 더욱 잦아지고 있다”고 구직자들의 주의를 당부했다.

이에 따르면 공격자들은 마치 구인구직 사이트에서 제공한 듯한 입사지원 파일을 통해 악성코드 다운로드를 유도한다. 일단 내려받은 악성코드는 카카오톡 PC 버전의 ID정보를 탈취하는 등 악성 페이로드의 명령 제어 기능도 지속적으로 추가하는 등 갈수록 지능화되고 있는 것으로 알려졌다.

이스트시큐리티는 “이번 공격은 기존에 공개된 다수의 공격들과 유사하게 입사지원서 이메일을 위장한 피싱 메일을 통해 진행되었다”고 했다.

즉, 이메일에 첨부된 악성 링크의 도메인 주소를 실제 존재하는 국내 구인구직 사이트와 유사하게 생성했다. 그래서 마치 실제 구인구직 사이트를 통해 구직자에게 파일이 제공되는 것처럼 보이도록 유도하고, 이를 통해 상세한 개인정보를 탈취하는 수법이다.

입사지원을 위장한 피싱 메일. (출처=이스트시큐리티)

‘job1-info[.]com’, 'job3-info[.]com' 등 ‘조심’

그러면서 이스트시큐리티는 상세한 공격 수법을 소개했다. 이에 따르면 공격자들을 악성코드를 퍼뜨리기 위해 ‘job1-info[.]com’ 도메인을 활용했다. 이는 실제 구인구직 사이트인 잡인포(jobinfo.co.kr)’ 도메인 주소를 흉내낸 셈이다. 이에 이스트시큐리티가 공격에 악용된 C&C 서버 아이피 '45.76.211.14'를 추가 조사한 결과, 이들은 이미 그전부터'job3-info[.]com'나, 'jd-albamon[.]com', 'jobdown3[.]com' 등의 도메인을 사용한 흔적이 드러났다. 즉 “이전부터 구인구직 사이트를 가장한 다수의 공격이 이미 진행되었다는 것을 알 수 있다”는 것이다.

그래서 이메일 수신자가 링크를 클릭하면, 공격자 서버에서 【오**-hwp(입사지원서)】 파일명의 악성 실행파일(.EXE)이 포함되어 있는 캐비닛 파일(.CAB)이 다시 다운로드되도록 했다.

악성 exe 파일이 포함된 cab 파일

“사용자들, 사이버공격인지도 몰라”

이스트시큐리티 사이버대응팀은 이에 대해 “윈도우의 ‘폴더 보기’ 옵션은 기본적으로 해제되어 있어, 사용자가 따로 설정하지 않는 이상 개별 파일의 파일 확장자가 보이지 않는다”며 “공격자는 이런 점을 악용하여 파일명에 hwp 단어를 추가해 마치 한글 문서파일처럼 보여 실행하도록 유도했다”고 수법을 상세히 전하고 있다.

이때 사용자가 내부에 포함되어 있는 실행파일을 실행시키면 백그라운드에서는 'netscore.exe' 프로그램을 실행시키며, 사용자 화면에는 실제 이력서처럼 위장한 ‘디코이’ 파일을 노출함으로써 사용자로선 미처 사이버공격임을 인지하지 못하도록 유도한다.

사용자를 속이기위해 보여주는 디코이 파일

이때 실행된 'netscore.exe' 파일은 감염된 PC의 정보를 수집, 특정 서버(b.center-main[.]com, a.center-main[.]com)로 전송한다. 그 속에는 공격자의 명령에 따라 음성녹음이나, 폴더, 파일정보수집 등 다양한 추가 악성 행위를 할 수 있는 명령 제어 기능도 다수 포함하고 있다. 그야말로 공격자가 사용자의 PC를 원격제어할 수 있게 된 것이다.

이스트시큐리티는 “이처럼 입사지원서를 위장한 피싱 메일을 통한 공격은 공격자들이 즐겨 사용하는 공격 방식 중 하나”라며 “공격자들이 입사지원서라는 동일한 주제를 가지고 다양한 형태의 공격 방식을 연구하고 있는 만큼, 이메일 내 첨부파일이나 링크를 클릭할때는 각별한 주의가 필요하다”고 당부했다.

그러면서 이스트시큐리티는 “현재 알약에서는 해당 악성파일들에 대해 Trojan.Agent.616213A로 탐지중에 있다.”고 덧붙였다.