*해당 내용은 로그프레소 인사 담당자가 작성한 wanted 인살롱 게시물을 일부 각색한 내용입니다.
일명 스타트업 구인 전쟁이 벌어지는 요즘, 많은 기업들이 우수한 인재를 영입하기 위해 여러 채널을 통해 기업과 채용 중인 포지션을 홍보하고 있습니다. 이 과정에서 인사팀과 직접 연락할 수 있는 메일 계정을 공개하는 경우가 많은데, 이는 누구나 해당 기업 인사팀의 이메일 주소를 알 수 있게 된다는 점을 의미합니다.
이 이메일 주소가 지원자뿐만 아니라 악성 행위를 일삼는 해킹 조직에게도 유용하다는 점, 알고 계셨나요? 인사 담당자라면 메일을 통해 이력서와 포트폴리오를 보내는 적극적인 지원자를 자주 접하게 됩니다. 그러나 급한 채용 상황 속 반가운 마음에 아무 의심 없이 첨부파일을 다운로드할 경우, PC 시스템을 암호화한 뒤 몸값(ransom)을 요구하는 이른바 '랜섬웨어(Ransomware)'에 감염될 위험이 있습니다. 이러한 공격은 비단 한 명의 인사 담당자로 그치지 않고, 네트워크를 통해 기업 전체의 보안 시스템에 심각한 타격을 줄 수 있습니다.
이번 콘텐츠에서는 1) 이러한 공격이 어떤 방식으로 진행되는지, 2) 이를 예방하기 위한 방법에 대해 알아보려고 합니다.
위 이미지는 로그프레소 채용 계정으로 수신된 피싱 메일 사례입니다. 겉보기에는 패기 넘치는 적극적인 지원자의 메일처럼 보이지만, 자세히 살펴보면 몇 가지 이상한 점을 발견할 수 있습니다. 예를 들어, 메일 제목과 첨부 파일명에 기재된 지원자 이름이 서로 일치하지 않는 등 어딘가 수상한 분위기를 풍기고 있습니다.
로그프레소 인사팀은 첨부파일로 인한 피싱을 방지하기 위해 의심스러운 상황에는 섣불리 파일을 다운로드 하지 않고 사이버 위협 탐지를 담당하는 내부 악성코드 분석가에게 한번 더 확인하는 절차를 가지고 있습니다. 해당 메일 역시 VirusTotal(파일 검사를 제공하는 웹사이트)을 통해 검사를 진행한 결과 위 이미지와 같이 압축된 파일은 지원 서류를 표방한 Lockbit 랜섬웨어로 밝혀졌습니다.
보안 tip! 암호를 걸어 파일을 압축하는 방식은 메일 사업자의 필터링을 우회하는 기본적인 수법입니다. 이렇게 암호가 걸려있는 압축 파일은 악성코드일 가능성이 높으므로 각별히 주의해야 합니다. 특히 안티바이러스 프로그램이 설치되지 않은 PC에서 이런 파일을 열 경우, 악성코드에 즉시 감염될 수 있습니다.
이렇게 지원자인 척하며 악성 첨부파일을 보내 인사 담당자의 컴퓨터로 침입하려는 시도는 수년째 지속되고 있습니다. 이러한 수법은 날이 갈 수록 지능화되어 외견상 자연스러운 모양새를 갖추고 있기 때문에, 무심결에 첨부파일을 다운로드하기 쉽습니다. 인사 담당자의 컴퓨터가 회사 전체 보안 시스템을 위협하는 사이버 공격의 채널이 되지 않기 위해서는 아래와 같은 수칙을 반드시 숙지해야 합니다.
1. 출처가 불분명한 파일은 다운로드 하지 않는다.
구글을 비롯한 기본적인 메일 서버는 첨부 파일의 보안 검사를 진행하지만 이러한 1차 필터링도 완벽하지 않을 수 있습니다. 따라서 채용 공고에서 doc, docx, hwpx 등의 오피스 파일 대신 PDF 파일 형식의 제출을 권장하고, PDF 파일이라도 출처가 불분명한 파일은 직접 다운로드하지 않아야 합니다.
2. 사용하는 PC에 OS와 오피스 프로그램, 보안 프로그램을 상시 업데이트한다.
기업에서 사용하는 많은 프로그램들은 자체적으로 기본적인 보안 기능을 갖추고 있습니다. 또 경우에 따라 회사에서 권장하는 보안 프로그램이 여럿 있을 수 있습니다. 많은 사람들이 사용하는 프로그램을 제공하는 기업들은 현존하는 사이버 위협에 대해 연구하고, 방어할 수 있는 기능을 프로그램 업데이트를 통해 고객에게 제공합니다. 따라서 프로그램 업데이트를 상시화하여 새롭게 발생하는 위협을 제때 예방하는 것이 중요합니다.
3. 계정의 2단계 인증 설정/이중 로그인 점검을 생활화하자.
업무에 활용하는 기기가 늘어나고, PC 외에 휴대폰과 태블릿으로도 회사 계정에 쉽게 접근할 수 있는 시대인 만큼 보안에 더욱 신경 써야 합니다. 2단계 인증 로그인을 설정하여 매 로그인 시도가 실제 본인인지 확인하는 절차를 추가하고, 자주 사용하지 않는 기기에서는 로그아웃하는 등의 계정이 해킹되거나 피싱과 같은 악성 행위에 활용되지 않도록 합니다.
이외에도 업무 환경에서 지킬 수 있는 물리적 보안 방법으로 자리를 이탈 시 화면 잠금을 습관화하기, 단순 암호보다는 특수문자 등이 포함된 복잡한 암호를 사용하고 주기적으로 변경하기, 지문 센서가 없는 PC나 랩탑을 사용하는 경우 별도의 지문 센서를 이용하는 방법 등이 있습니다. 특히 화상 미팅을 하지 않을 때에는 웹캠 커버를 사용하여 나도 모르게 악성코드에 감염된 내 PC가 사생활을 담을 수 없도록 닫아두면 좋습니다. (이런 이유로 로그프레소에서는 웰컴키트로 웹캠 커버를 제공하고 있습니다.)
인사팀은 민감한 정보를 많이 다루기 때문에, 사람이 많은 공공 장소(예: 카페 등)에서는 중요한 문서를 열람하지 않고, 외근이나 출장 등 원격 근무가 많다면 프라이버시 보호 필름을 사용하여 내용이 화면이 노출되지 않도록 주의합니다. 더 나아가, 사내 보안 담당자와 함께 개인정보나 민감한 정보에 대한 접근 및 관리에 관한 가이드라인을 마련하고, 기업의 모든 구성원이 준수 있도록 지속적인 안내와 교육이 필요합니다. 이를 통해 임직원, 고객, 파트너 등 다양한 이해관계자의 정보 자산을 안전하게 지킬 수 있는 장치가 마련될 수 있습니다.
누구나 쉽게 방심할 수 있는 악성 행위 수법들을 미리 숙지하시고 기업의 보안 시스템을 잘 지켜 고객들에게 더욱 신뢰 받는 기업으로 거듭나길 바랍니다.
