기업의 채용시즌이 본격적으로 시작되며 입사지원 문서로 위장해 랜섬웨어와 정보유출 악성코드를 동시에 유포하는 사례가 빈번하게 발생하고 있다.
특히 코로나19로 인해 비대면 업무환경이 생겨남에 따라 채용 시장이 활성화되는 IT업계에서는 입사지원서 뿐만 아니라, 법원의 경찰조사 등으로 사칭하는 악성이메일 공격이 늘어나고 있다. IT뿐 아니라 각 기업의 인사채용 담당자를 타깃으로 유포되고 있어 각별한 주의가 필요하다.
실제로 EDPR(Endpoint Prevention Detection & Response) 보안솔루션인 SentinelOne을 도입한 한 기업에서는 입사지원서를 사칭하는 이메일을 받고 실행 후 랜섬웨어에 감염됐다. 랜섬웨어는 문서로 위장한 실행파일로 입사지원서, 이력서 포트폴리오 제목으로 되어있고, 인사채용 담당자는 확인하기 위해 파일을 열어볼 수 밖에 없다.
SentinelOne의 공식파트너인 콤시스㈜는 상시 모니터링 중, 랜섬웨어가 감염되었다는 이벤트 알림을 확인하고 감염 원인을 분석한 결과 SentinelOne의 차단 정책이 비활성화(안정화 단계)돼있어 감염된 것으로 확인했다.
콤시스㈜에서는 이를 파악해, 차단 정책을 활성화했고 SentinelOne의 '복구' 기능을 통하여 해당 Endpoint를 감염 전 시점으로 복구했다. 입사 지원서·이력서 포트폴리오 파일, 파일이 실행되면서의 Child 프로세스, 레지스트리값, 경로 등이 모두 삭제됐고 모든 문서 역시 감염 전 시점으로 '복구'되어 피해를 입지 않을 수 있었다.
피해를 입을 뻔한 보안 담당자는 "처음에 SentinelOne Agent에 대해 반신반의한 사용자들이 많았는데 미리 설치한 사용자가 랜섬웨어로부터 복구되는 것을 보며 다른 사람들도 설치를 서두르고 있다"고 말했다.
SentinelOne은 AI기반으로 학습된 악성코드들의 형태·행위를 모델링하고 탑재한 EDR 솔루션이다. 랜섬웨어가 기승을 부리며 특히 메일로 수신 되는 악성코드를 사전 탐지·차단(Static AI엔진), 악성코드 행위 기반 탐지·차단(Behavioral AI엔진) 할 수 있어, 삼중으로 사내 Endpoint 보안을 구축할 수 있다.
특히 SentinelOne의 특허 기술로, 랜섬웨어에 감염됐다고 하더라도 'Windows 운영체제의 스냅샷을 이용한 복구 기능'을 통해 데이터를 감염 전 가장 최근의 상태로 복원시킬 수 있다. 또한 이러한 기능들은 'SentinelOne 한국지사', '삼성SDS 총판', '공식 파트너 콤시스㈜' 에서 상시 모니터링/분석/조치/대응을 할 수 있기에 고객은 최상의 서비스를 제공받을 수 있다.
최근 EDR 제품 중 Mitre Att@ck 자료에서 유일하게 100% 탐지 결과를 받아내 SentinelOne 도입을 고려하는 고객으로부터 더욱 기대감을 자아내고 있다.
자세한 내용은 콤시스㈜ 블로그를 통해 확인가능하다.
이윤혜 기자 dbspvpt@datanews.co.kr
[ⓒ데이터저널리즘의 중심 데이터뉴스 - 무단전재 & 재배포 금지]