안랩(대표 강석균)은 최근 가짜 이력서 파일을 첨부한 이메일로 랜섬웨어와 정보유출 악성코드를 동시에 유포하는 사례를 발견하여 사용자의 주의를 당부했다.

이번 사례는 한 개의 악성코드만 유포하던 기존 사례와 달리 한 개의 이력서 사칭 메일에 정보탈취와 랜섬웨어, 두 가지 악성코드를 동시에 포함시킨 것이 특징이다. 공격자가 첨부한 ‘이력서’라는 제목의 압축파일을 실행하면 이력서로 위장한 두 개의 파일이 나오는데, 두 파일은 PDF파일과 한글 문서파일 아이콘을 하고 있지만 실은 .exe확장자의 실행파일이다. 

한글 문서로 위장한 파일을 실행할 경우 사용자의 PC는 ‘NEMTP 랜섬웨어’에 감염된다. 또, PDF로 위장한 파일을 실행하면 메신저 계정 정보, 인터넷 브라우저 정보, 암호화폐 지갑정보 등을 유출하는 ‘비다르(Vidar) 악성코드’에 감염된다.

이러한 이력서 위장 악성코드 유포 사례는 올해 초부터 꾸준히 발견되고 있다. 1월에는 정보유출 악성코드가, 3월에는 ‘NEMTY 랜섬웨어’와 ‘MAKOP 랜섬웨어’가 각각 유포되었으며, 4월에는 두 랜섬웨어의 새로운 버전이 유포되었다. 현재 안랩 V3은 해당 정보유출 악성코드와 랜섬웨어들을 모두 진단하고 있다.

안랩에서는 이와 같은 피해를 막기 위해서는 △출처가 불분명한 메일의 첨부파일/URL 실행금지 △‘파일 확장명’ 숨기기 설정 해제 △OS(운영체제) 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 오피스 SW등 프로그램 최신 보안 패치 적용 △백신 최신버전 유지 및 실시간 감시 기능 실행 △중요한 데이터는 별도의 보관 장치에 백업 등 필수 보안 수칙을 실행해야 한다고 전했다.

한편 안랩 분석팀 한명욱 주임 연구원은 “공격자는 사회의 트렌드 변화를 공격에 빨리 적용한다”며, “기업/기관 구성원들은 전체 조직의 피해를 예방하기 위해 출처가 불분명한 메일 속 첨부파일은 내려받지 말고, 파일 실행 전에는 파일 확장자명을 다시 한 번 확인하는 등 기본 보안수칙을 생활화해야 한다”고 말했다.