악성코드 유포 ‘지름길’ 된 윈도우 LNK 파일…공격 50% 급증

복잡한 경로 없이 바로 실행…공격 악용 사례 급증
4가지 주요 공격 방식…폴더 접근만으로 감염되는 사례도

[보안뉴스 여이레 기자] 윈도우 바로가기(LNK) 파일을 악용한 악성코드 유포가 급증하고 있다. 사이버 공격자들은 복잡한 폴더 구조를 거치지 않고 파일이나 어플리케이션을 바로 실행하는 LNK 파일의 용도를 악용해 악성코드 유포 도구로 적극 활용하고 있다.

3일(현지시간) 외신 매체 등에 따르면 지난해 윈도우 LNK 파일을 악성코드 유포에 활용한 사례가 전년 대비 50% 이상 급증했다. 2023년 2만1098건이었던 악성 LNK 파일 탐지 건수는 2024년 6만8392건으로 폭증했다. 이 같은 증가세는 LNK 파일의 구조적 유연성과 사회공학적 속임수 기법이 결합된 결과로 분석된다.

최근 3만여 개의 최식 악성 LNK 샘플을 분석한 결과 공격 기법은 크게 네 가지로 분류됐다. 첫 번째는 ‘익스플로잇 실행’(Exploit Execution)으로, CVE-2010-2568과 같은 미패치 윈도우 취약점을 악용한다. 폴더 접근만으로도 자동 감염이 유발된다.

‘디스크 내 파일 실행’(File-on-disk Execution)공격은 이미 PC에 존재하는 악성 스크립트나 바이너리를 LNK 파일이 직접 호출해 powershell.exe, cmd.exe 등 시스템 도구로 실행한다.

‘인 아규먼트 스크립트 실행’(In-argument Script Excution)은 악성 스크립트를 명령줄 인수에 삽입해 파워셸 등 인터프리터에 난독화된 코드를 실행한다. 베이스64 인코딩, 환경 변수 조작 등 탐지 우회 기법이 동원된다.

마지막으로 ‘오버레이 실행’(Overlay Execution)은 정상 LNK 파일 끝에 악성 페이로드를 추가하고 findstr, mshta.exe 등 유틸리티로 숨겨진 스크립트나 바이너리를 추출·실행한다. PDF 등 정상파일로 위장하는 경우도 발견됐다.

전문가들은 의심스러운 LNK 파일은 우클릭 후 ‘속성’에서 대상 경로와 명령줄 인자를 반드시 확인하라고 조언했다.

침해 지표(IOC)
SHA256 해시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[여이레 기자(gore@boannews.com)]

AI 및 AI 보안 솔루션이 보안 인력의 업무에 어떤 식으로 영향을 미칠것이라고 생각하시나요
	부족한 인력 보충: 만성적인 인력 부족 문제를 해결하는 보완재 역할을 하고 있다(100% 대체는 불가)
	업무 영역의 분리: AI는 대량 데이터 처리를, 전문가는 고도의 전략적 판단을 맡는 등 역할이 완전히 다르다
	업무 총량의 전이: 단순 업무는 줄었으나, AI 모델 관리·검증 등 새로운 형태의 운영 업무가 발생해 전체 업무량은 비슷하다
	인력 대체 가능: 단순 반복 업무를 넘어 분석/판단 영역까지 대체하여 인력을 줄일 수 있다
	신뢰도 부족: 아직은 AI의 오탐이나 환각(Hallucination) 우려로 인해 사람이 일일이 재검토해야 하므로 실질적인 도움은 적다