채용 담당자라면 늘 조심해야 할 시대입니다.
요즘처럼 수백 명의 이력서를 받는 상황에서, 하나의 실수가 기업 전체 보안에 구멍을 낼 수 있기 때문이죠.
이번엔 "Venom Spider"라는 정교한 해킹 그룹이 HR 부서를 노리고 피싱 공격을 감행하고 있다는 소식이 전해졌습니다. 😱
🕷 Venom Spider란?
Venom Spider는 최소 2018년부터 활동해온 금전적 목적의 사이버 위협 그룹입니다.
이들은 진짜 구직자인 척 기업에 접근해 악성 첨부 파일을 전달하고,
이 파일을 실행한 채용 담당자의 시스템에 백도어를 설치해 내부 네트워크로 침투합니다.
이번 캠페인을 추적한 Arctic Wolf의 보고서에 따르면,
Venom Spider는 기존과 마찬가지로 HR 부서가 자주 열람하는 .zip, .lnk 파일을 활용한
스피어 피싱(spear-phishing)을 통해 공격을 감행하고 있습니다.
🎯 공격 흐름 요약
- 채용 공고에 지원한 것처럼 이메일 전송
이메일에는 외부 사이트 링크가 포함되어 있으며, CAPTCHA가 표시돼 자동 분석을 우회합니다. - "이력서.zip" 다운로드 유도
.zip 파일엔 실제로는 .jpg 이미지(주의 분산용)와 .lnk 단축 파일이 포함되어 있습니다. - .lnk 파일 실행 시 감염 시작
해당 파일은 .bat 파일을 다운로드 → WordPad 실행(피해자 속이기) → ie4uinit.exe 악용하여 자바스크립트 실행. - 백도어 설치
More_eggs_Dropper라는 라이브러리가 설치되며, 최종적으로 More_eggs 백도어를 실행해 피해자의 시스템을 장악합니다.
🧠 More_eggs 백도어란?
More_eggs는 다기능 백도어로, 피해자의 시스템 정보를 수집하고 C2(Command and Control) 서버와 통신합니다.
이후 추가적인 악성코드나 자바스크립트 파일을 원격에서 실행할 수 있게 만듭니다.
특히 More_eggs_Dropper는 코드 난독화와 시간 지연 실행(Time delay)을 통해 샌드박스 분석을 회피하며,
msxsl.exe라는 합법적인 윈도우 실행 파일을 통해 XML 기반의 자바스크립트 코드를 실행하는 전술을 사용합니다.
💡 왜 HR 부서가 타깃이 되는가?
HR 담당자들은 외부에서 온 이력서, 자기소개서, 포트폴리오 등 수많은 파일을 검토해야 합니다.
이 과정에서 .zip, .lnk, .iso, .vbs 같은 고위험 확장자도 무심코 열람하게 되는데,
이는 공격자에게 '정문'을 열어주는 것과 마찬가지입니다. 🧨
Arctic Wolf의 연구원 Stefan Hostetler는 “현재처럼 구직자 수가 많은 경제 상황에선 수백 명의 지원자 이메일을 검토해야 하며,
이로 인해 공격자에게 유리한 조건이 마련된다”고 지적했습니다.
🛡 대응 방안
Venom Spider의 공격은 복잡하지만, 본질은 ‘피싱’입니다.
다음과 같은 대응이 요구됩니다.
- 정기적인 보안 교육
전 직원 대상 일반 피싱 교육은 물론, HR 등 고위험 부서에는 확장자 필터링, 파일 속성 확인법 등 맞춤형 교육을 추가해야 합니다. - 의심 파일 확장자 차단
.lnk, .iso, .vbs 등 고위험 확장자가 포함된 첨부파일은 기본 차단하거나 별도의 검사 과정을 거쳐야 합니다. - 보안 솔루션 강화
EDR 솔루션을 활용한 행위 기반 탐지, 비정상 프로세스 차단 기능을 활용하세요. - 네트워크 모니터링 강화
More_eggs와 같은 백도어는 외부 C2 서버와 통신합니다. 이상 트래픽 모니터링이 매우 중요합니다. - 정책적 대응 마련
IT 보안팀과 HR팀이 협업해, 채용 관련 파일 업로드/다운로드 기준을 재정립해야 합니다.
🔍 결론
Venom Spider는 단순한 스팸 공격자가 아닙니다.
고도로 조직화된 전술과 다계층 백도어를 활용하는 정교한 위협 그룹입니다.
특히 HR 부서를 겨냥한 공격은 사용자의 일상적 업무 흐름을 악용하는 대표적인 사회공학 공격의 사례이며,
조직 내 보안 허점을 노리는 사이버 범죄자들의 사고방식을 잘 보여줍니다.
이번 사례를 통해 기업은 다시 한 번 보안의 중심에 "사람"이 있음을 인지하고,
기술적 대응과 더불어 조직 구성원의 보안 인식 제고에 나서야 할 것입니다. 🔐
'CyberSecurity > Security🔐' 카테고리의 다른 글
| 🎯 아직 끝나지 않은 위협: 윈도우 제로데이(CVE-2025-29824)를 노린 두 개의 랜섬웨어 그룹의 정체는? (1) | 2025.05.08 |
|---|---|
| AI 워크플로우 플랫폼을 노리는 새로운 위협 - Langflow의 심각한 인증 결함 ⚠️ (1) | 2025.05.07 |
| 📌 Windows 11의 보안 진화 – '관리자 보호(Administrator Protection)' 기능이 가져올 큰 변화 (3) | 2025.05.06 |
| 💣 개발자 디렉토리 노리는 해커들! .env랑 .git 파일이 왜 위험할까? (1) | 2025.05.06 |
| 🔐 “비밀번호 바꿔도 로그인 가능?”…윈도우 RDP의 위험한 허점 (3) | 2025.05.01 |