사이버 보안

온라인 이력서에 포함된 정보가 해커의 타깃이 된 사례와 사이버 보안

info-news2 2025. 7. 10. 14:16

온라인 이력서, 이력서만 있는 게 아니다

채용 시장이 디지털화되면서 온라인 이력서 제출은 일상이 되었다.
사람인, 잡코리아, 원티드, 브레인 등 다양한 플랫폼에 이력서를 등록하고,
링크를 통해 지원하거나 URL을 이메일에 첨부하는 일이 흔해졌다.

하지만 이력서 안에 포함된 개인정보가 해커에게는 표적 공격(Personalized Attack)을 위한 정제된 데이터 셋이 될 수 있다는 사실은 많은 사람들이 간과하고 있다.

온라인 이력서에 포함된 정보가 해커의 타깃이 된 사례와 사이버 보안

이력서에는 이름, 생년월일, 연락처, 이메일뿐 아니라
학력, 직장 이력, 자격증, 군복무 여부, 자택 주소, 사진 등 민감한 정보가 고스란히 담긴다.
그리고 이 정보는 소셜 엔지니어링 해킹, 맞춤형 피싱, 신원 도용 범죄의 출발점이 되기도 한다.

 

사례: PDF 이력서에 포함된 정보로 사기 당한 경력직 마케터의 경험

2024년 9월, 온라인을 통해 구직 활동을 하던 마케터 윤씨(32)는 한 외국계 마케팅 업체에서 “서류 통과를 축하한다”는 이메일을 받았다.
회사 로고, 직인, 담당자 이름까지 갖춘 이메일은 너무도 자연스러웠고,
그녀는 해당 메일에 포함된 링크를 클릭해 ‘추가 인성검사’를 진행했다.

이메일은 그녀가 며칠 전 PDF 파일로 제출했던 이력서에 기재한
이전 직장명, 담당 업무, 연락처 등 구체 정보들을 그대로 반영하고 있었고,
자신의 이력서를 참고한 ‘맞춤형 연락’이라 생각한 윤 씨는 아무런 의심 없이 설문을 작성했다.

문제는 그 후 3일 뒤부터 금융 계정에서 이상 접근 알림이 나타나고,
네이버·구글 계정, 심지어 그녀의 스마트폰까지 로그아웃되는 현상이 발생하면서 시작되었다.

결국 조사 결과, 이메일은 실제 회사가 아닌 피싱 조직의 스피어 피싱(spear phishing) 공격이었으며,
이력서에 기재된 개인정보로 그녀를 타깃 삼아 정교하게 제작된 공격이었다.
이로 인해 그녀는 이메일 계정을 탈취당했고,
구독 결제, 스토리지 서비스, 디지털 자산 일부가 외부로 유출되었다.

 

이력서가 해커에게 유용한 이유

해커들은 다크웹, 구직 플랫폼, 구글 드라이브에 공개된 이력서 URL 또는 첨부파일을 수집해
맞춤형 공격의 재료로 활용한다.

이력서                                             정보악용 방식
📛 이름 + 사진 SNS 계정 매칭 및 신분 도용용 가짜 프로필 제작
📧 이메일 피싱 메일, 계정 탈취 공격 대상
📱 전화번호 문자 기반 스미싱, 보이스피싱 시도
🏠 주소 배송 사기, 우편 스팸, 실제 위치 기반 협박 가능
🧑‍🎓 학력·경력 타겟 맞춤형 메시지 제작 → 신뢰도 높은 피싱 가능
🖇️ 자격증·자소서 공공기관 사칭에 활용될 수 있는 신뢰 정보로 사용
 

이력서 하나로 공격자는 피해자의 신원, 네트워크, 업무적 맥락까지 정리할 수 있게 된다.

 

실제 이력서 유출 사고 (KISA, 언론 자료 기반)

  • 2023년 A사 채용 공고 위장 피싱
    → 이력서 수집 후, 이메일 피싱 시도 / 피해자 21명, 개인정보 300건 유출
  • 2022년 구직자 10만 명 이력서 PDF가 검색엔진에 노출
    → 사람인, 잡코리아 등 API 취약점 이용 / 다크웹에서 패키지 판매됨
  • 2024년 하반기, 잡포털 링크 통해 크롬 익스플로잇 확산 사례
    → 이력서에 포함된 링크 클릭 유도 → 브라우저 해킹으로 이어짐

 

이력서 관련 보안 실수 TOP 5

  1. 이메일·전화번호를 문서에 평문으로 기재
    → 봇이 스캔해 수집 가능
  2. PDF, HWP 파일을 비암호화 상태로 공유
    → 복사 및 텍스트 추출 쉬움
  3. 공개 이력서 URL을 이력서에 삽입
    → Google 검색에 인덱싱되어 누구나 접근 가능
  4. 이력서에 주민등록번호 또는 사진 포함
    → 신분증 위조 가능성
  5. 파일 속성에 원본 작성자, 장치 정보 포함
    → 메타데이터를 통해 기기, 계정 정보 유출

 

온라인 이력서 보안 수칙 7가지

1. 이메일 주소는 별도 구직용으로 운영

  • 개인용 계정과 분리
  • 가급적 보안 2FA 적용된 이메일 사용

2. 연락처는 반드시 이미지 형태로 삽입

  • OCR 방지
  • '010-XXXX-XXXX' 형식으로 텍스트 입력 피하기

3. 이력서 파일은 반드시 비밀번호 설정 후 공유

  • PDF, HWP, DOC 등 지원
  • 공유할 경우 파일에 링크 삽입하지 않기

4. 파일 속성 메타데이터 제거

  • Windows: 속성 → 자세히 → 정보 제거
  • 또는 ExifTool, CleanDocs 같은 프로그램 활용

5. SNS 연동 금지 / 계정 정보 최소화

  • 링크드인 등 연결 시 제한된 정보만 공개

6. 이력서 템플릿은 보안 점검된 양식 사용

  • 공식 채용 사이트의 템플릿 권장
  • 웹페이지 링크나 JS 코드 포함 양식 주의

7. 정기적으로 자신의 이름+이력서 키워드로 검색해보기

  • 구글, 네이버에서 ‘이름 + 이력서’ 검색
  • 원치 않는 노출 시 삭제 요청 또는 DMCA 요청 진행

 

이력서는 단순한 지원서가 아니라, 완전한 정보 패키지다

채용을 위한 이력서는 필수지만, 보안에 대한 인식 없이 작성하면
그 문서 하나가 해커에겐 타깃을 설정하기 위한 완벽한 공격 매뉴얼이 될 수 있다.

개인정보보호는 선택이 아닌 필수다.
이력서 파일 하나에도 보안 습관을 담는 것,
그것이 진짜 디지털 리터러시이자, 스스로를 보호하는 첫걸음이다.