대기업 겨냥해 채용 지원서 가장한 트로이 목마 경보

거대 상장기업은 사이버 범죄의 표적이 된다. 이들 기업에는 채용 지원서를 가장해 말웨어에 감염된 RTF(Rich Text File) 문서가 흘러 넘친다.보안 업체 메시지랩은 이달에 말웨어에 감염된 RTF 파일을 첨부한 전자 메일이 16시간 동안 1,100통 확인됐다고 보고했다. 이는 지난 13~14일 이틀동안 4회에 걸쳐 이루어진 공격에서 확인된 것이다.메시지랩 관계자는 “모든 전자메일은 인사부 최고 담당자에게 발송됐다. 전자 메일에는 기업명이 포함돼 채용 응모를 가장하고 있었다”며 “이것들에는 실행 가능한 RTF 파일이 첨부돼 있었다”고 말했다.이 관계자에 의하면, 이와 같은 전자 메일은 지난 6월에도 발견됐다.전자 메일은 본문이 없고 실행 가능한 RTF 안에 ‘.scr’ 확장자를 가진 화면 보호기 더미 파일이 들어 있다고 한다. 파일을 열려고 하면 “마이크로소프트가 에러에 대항해 닫습니다”라는 메시지가 표시되며 “열람하려면 메시지를 더블클릭해 주세요”라는 권고가 나타난다.일단 RTF 파일이 열리면, 일련의 파일들이 다운로드되어 공격자 서버와 감염된 컴퓨터가 단단히 접속된다.톱 레벨의 기업들이 주 공격대상이며 공격자가 기업 정보를 노리고 있는 것은 분명하지만, 이번 건에서 좀 더 우려해야 할 것은 트로이 목마를 전자 메일에 숨기는 데 사회 공학적 방법이 널리 이용되고 있는 점이라고 메시지랩 관계자는 말했다.“이 전자 메일 방법은 매우 유효해질 수 있다. 보내져 온 메일을 기업 상층부가 사내에 전송하면, 이 전자 메일은 신뢰할 수 있는 송신지로부터 온 것이 된다. 또 이번 전자 메일은 행선지가 모두 1명으로 돼 있었기 때문에 이상한 메일로 눈에 띄는 일도 별로 없었다”고 메시지랩의 관계자는 말했다.F-시큐어의 보안 전문가 패트릭 러널드는 최근의 완전한 공격은 루트 킷을 숨긴 트로이 목마를 인사 담당 매니저에게 보내는 제로 데이 공격이라고 말했다. 인사 담당 매니저는 회사 방침상 모든 문서를 열어 봐야 하기 때문이다.“이것은 무서운 일이다. 왜냐하면 이 공격으로부터 자신을 지키는 것은 매우 어렵기 때문이다. 오피스를 사용할 때 워드, RTF, 파워포인트 및 액셀 파일의 교환은 허가하지 않을 수 없다. 즉 서명을 기본으로 한 안티 바이러스 기능은 충분하지 않다. 그것을 능가하는 기술이 필요하다”고 러널드는 말했다.그에 의하면 일반적인 형식의 파일 수취를 금지하는 것은 비현실적이므로, 이런 종류의 위협으로부터 보호할 수 있는 대비책은 유저에게 이러한 공격의 위험성을 교육하는 이외에는 거의 없다.서명이 달라도 악질적인 파일의 행동은 같기 때문에 이러한 공격을 막으려면 휴리스틱(Heuristic) 혹은 파일의 행동에 근거한 감시가 더욱 유효하다고 러널드는 덧붙였다. @