구인구직 이력서 통한 악성코드 공격

2023. 6. 28. 13:42IT 트렌드가 한눈에!

얼마 전 Fasoo의 공식 네이버 계정으로 유입된 메일입니다.

 

Fasoo 공식 네이버 계정으로 유입된 메일

 

어떻게 보이시나요?

그냥 평범한 구인구직 사이트 혹은 헤드헌팅 업체의 추천 이력서 메일처럼 보이시죠? 그래서 그 중 메일 하나를 열어 봤습니다. 그랬더니, 아래와 같은 첨부파일이 있더라고요.

 

피싱 메일에 첨부된 파일

 

여기서 바로, 메일 창을 닫았습니다. 2가지 이유 때문인데요. 첫째, 해당 계정은 인재채용 관련 계정이 아니었고, 둘째, 첨부파일 혹은 링크가 포함된 메일은 함부로 클릭하지 않아야 한다고 생각했기 때문이었습니다. 이는 사내에 지속적으로 진행되고 있는 악성메일 대응훈련 덕분입니다. 몇 년 째 계속 반복적으로 훈련에 임하다 보니, 이제는 기계처럼 해킹으로 의심되는 메일은 사내 신고센터로 1초 만에 포워딩 처리하고 있습니다. (뿌듯)

 

신고 접수를 받은 사내 신고센터는 해당 메일을 분석해서 결과를 알려줍니다. 만약 진짜 악의적인 메일이 아닌, 업무 관련 메일이었다면 그때 안전하게 확인하면 됩니다. 그런데 경험상, 신고센터로 신고한 의심 메일들은 열에 아홉은 모두 악의적인 의도가 담긴 피싱메일이더라고요.

 

반복적인 악성메일 훈련의 효과

 

코로나19 종식 이후, 각 기관 및 기업들의 채용형태는 확실히 변화됐습니다. 팬데믹 이전에는 1년에 1번 혹은 2번씩 공채 시즌을 통해 직원들을 정기채용하는 형태였는데요. Fasoo 역시도 그랬습니다.

하지만 지금은 다릅니다. 1년에 4~5번씩, 많게는 매달 채용을 진행하는 수시채용 형태로 변했습니다. 사실상 1년 365일 채용 프로세스가 진행되고 있는 겁니다. 이렇다 보니, 각 조직의 인사담당자들은 매일매일 이력서를 수신하는 상황에 처하게 됐고, 이를 노린 해커들의 피싱 메일 공격이 기승을 부리고 있는 겁니다.

 

다양한 방식으로 전개되는 피싱 메일 공격

 

심지어 이메일 내에 첨부돼 있는 악성 링크의 도메인 주소를 실제 존재하는 국내 구인구직 사이트와 유사하게 생성해, 마치 실제 해당 사이트에서 파일이 다운로드 되는 것처럼 보이도록 유도하고 있습니다. 바로 이러한 점이 아무리 좋은 솔루션을 도입해도 결국 사용자의 인식이 개선되지 않으면 아무런 효과가 없음을 보여주는 지점이 아닐까 생각합니다.

 

해커들의 교묘한 피싱 메일 공격은 점점 고도화 되고, 결국 완벽한 솔루션은 현실적으로 한계가 있기에 사용자 역시도 솔루션에만 의지하는 것이 아니라 스스로 사고하고 대처할 수 있는 최소한의 보안 인식이 필요한 상황에 이르렀습니다.

 

고도화되는 피싱 메일 공격과 사용자 보안 의식 개선의 필요성

 

많은 보안 전문가들은 사이버 공격 예방과 사내 보안 의식 향상을 위해서는 반복적인 대응 훈련과 지속적인 관리가 필요하다고 말합니다. 특히, 악성메일 대응훈련은 천편일률적인 형태가 아니라, 최신 트렌드가 반영된 맞춤형 시나리오를 적용해야 기대하는 효과를 거둘 수 있다고 얘기하고 있습니다.

 

많은 분들이 문의해 주고 계시는 Fasoo의 Mind-SAT(마인드셋)이 바로 그런 서비스를 제공하고 있는데요. 악성메일 전문 컨설턴트가 고객사의 환경에 맞춘 예상 시나리오를 면밀하게 검토해, 훈련 전 과정에 함께 합니다. 다양한 산업군에서 검증된 다수의 훈련 시나리오를 보유하고 있기 때문에 아마 어떤 환경이시든 적합한 훈련을 진행하실 수 있을 겁니다.

 

https://www.fasoo.com/services/security-awareness-training

 

악성메일 훈련 서비스

악성메일 훈련 서비스, 전문 컨설턴트가 훈련 전 과정에 참여, 다양한 악성메일 템플릿 보유 및 고객사 맞춤형 시나리오 제공, 훈련 진행 상황 공유 및 관리자 인사이트 제공, 감염자 및 미신고

www.fasoo.com

다양한 훈련 시나리오를 보유하고 있는 악성메일 훈련 서비스, Mind-SAT

 

혹시 내부에 보안 담당자나 보안 인프라가 따로 없으신가요?

 

그래도 걱정 마세요! 그럴 땐 ‘정보보안 매니지드 서비스’로 해결하시면 됩니다. 악성메일 훈련부터 보안 모니터링, 랜섬웨어에 대응하는 백업 지원까지! 고객사의 규모, 비즈니스 환경에 관계 없이 안전하면서도 효율적인 보안 서비스를 제공하고 있습니다. 보안을 위해 반드시 필요한 서비스만을 제공하기 때문에 비용이나 리소스 측면에서도 굉장히 합리적입니다.

 

 

https://www.fasoo.com/services/security-managed-service

 

정보보안 매니지드 서비스

파수 정보보안 매니지드 서비스, 클라우드 기반 보안 환경 구축, 악성 메일 훈련 및 임직원 보안 교육 제공, 사이버 공격 모니터링, 소규모 기업이 합리적인 가격에 이용 가능한 Fasoo Managed Service

www.fasoo.com

오늘 포스팅에서는 최근 각별한 주의가 요구되는 구인구직 이력서를 사칭한 해킹메일 공격에 대해서 알아봤습니다. 새로운 인력 채용에 심혈을 기울이고 있는 조직이라면, 한 번쯤 꼭 짚어보고 생각해 볼만한 이슈입니다.

악성메일 대응훈련이 필요하신가요? 지금 바로 Fasoo의 전문 컨설턴트를 만나보세요!