취약점 공격보다 더 답없다는 LNK…"화살표 따라가선 안돼"
등록 2023.08.07 06:00:00
안랩·이스트시큐리티·지니언스 "LNK 악용 공격 기승"
취약점 공격은 보안 패치로 일차적 예방 가능 하나, LNK는 윈도 정상기능
보안 전문가 "이메일 내 LNK 일단 의심, '웅크린 화살표' 유의해야"
악성LNK 파일 속성(사진=이스트시큐리티 제공) *재판매 및 DB 금지
[서울=뉴시스]송혜리 기자 =
#회사를 운영하는 A 씨는 어느날 '비정기 세무조사 통지서'란 이름의 메일을 받았다. '이런 메일도 오는구나'생각도 잠시, 정보 누락을 피해를 입지 않기 위해 메일을 열었다.
최근 보안 업데이트를 한 상태여서 '설마 악성코드에 감염되겠나'생각도 했다. 메일에는 세 개의 첨부파일이 있었다. A 씨는 가장 상단에 있는 LNK 파일을 열고, 요구하는 내용을 기입했다. 그리고 며칠 뒤 A씨는 자신의 개인정보가 유출된 것을 알았다.
이같이 '바로가기·링크'파일인 LNK를 악용한 사이버 공격이 올해 들어 기승을 부려 보안 업계가 주의를 당부했다.
공격자는 공정거래위원회, 국세청 등 국내 기관을 사칭한 메일에 악성코드를 심은 LNK파일을 첨부해 발송했다. 수신자가 이 파일을 실행하는 경우, 악성 명령이 작동하며 개인정보 등이 외부로 유출되는 피해를 입게 된다.
특히, 기존 소프트웨어 취약점을 노린 공격의 경우 보안 업데이트, 보안 패치 적용 등으로 일차적인 예방이 가능하지만 LNK파일을 이용한 공격은 수신자가 해당 파일을 클릭하지 않도록 하는 것 이외엔 별다른 예방법이 없다.
이 때문에 보안 업계선 파일 실행 전 파일 확장자를 확인하고, 용량이 비정상적으로 큰 LNK 파일은 악성파일의 가능성을 의심하고 주의를 해야 할 필요가 있다고 당부했다.
올해 들어 LNK 악용 공격 기승…사회공학적 기법으로 수신자 현혹
안랩은 지난 4월 ▲230407정보지.lnk ▲2023년도 4월 29일 세미나.lnk ▲2023년도 개인평가 실시.hwp.lnk ▲북 외교관 선발파견 및 해외공관.lnk ▲북한외교정책결정과정.lnk 등으로 위장한 사이버 공격을 발견해다고 공개했다.
이스트시큐리티는 지난 2월 '[공정거래위원회] 서면 실태조사 사전 예고 안내통지문'이란 제목으로 유포된 스피어피싱 메일에 한글(HWP) 파일로 위장한 LNK파일이 첨부됐다고 설명했다. 이후 5월엔 ▲워싱턴선언, 북핵 위협 대응에 얼마나 도움이 될까.lnk ▲비정기 세무조사 통지서.hwp.lnk등의 악성 첨부파일도 포착했다고 밝혔다.
최근 지니언스 시큐리티 센터(GSC)가 발견한 국세청 위장 스피어 피싱메일도 마찬가지다.
GSC에 따르면 해당 메일은 국세청 우편물 센터에서 발송한 알림 서비스로 위장했다. 메일에는 '소명자료 제출요청 안내.zip'란 이름의 압축 파일이 첨부돼 있다. 압축 내부에는 총 3개의 파일이 존재하는데, 2개는 HWP 한컴 오피스 문서이며, 나머지 하나는 HWP 문서처럼 가장한 LNK 파일이다. 악성 명령을 실행하는 LNK 파일명은 '소명자료 목록(국세징수법 시행규칙).hwp.lnk'다. 압축이 해제된 후 해당 파일이 실행될 경우, 본격적인 악성 명령이 작동하며 이용자의 개인정보 등이 외부로 유출되는 피해를 입게 된다.
이메일 내에 첨부된 LNK 파일은 일단 의심…"화살표 있다고 바로 클릭해선 안돼"
특히, 보안 전문가들은 '이메일 내에 포함된 LNK'는 클릭하지 않는 것이 일차적인 예방법이라고 설명했다. 간혹 LNK파일을 HWP같은 문서파일로 위장해 'LNK'확장자가 보이지 않는다면, 파일 아이콘에 '웅크린 화살표' 있는지 확인하고 이것이 있다면 클릭하지 않아야 한다고 당부했다. LNK 파일은 파일 아이콘 좌측 하단에 오른쪽으로 살짝 꺾인 화살표가 추가돼 있다.
문종현 지니언스 시큐리티 센터장은 "윈도 정상 기능 중 하나인 LNK를 악용한 공격에선, 정품 소프트웨어를 사용하고 있거나, 최신버전으로 운영체제 등을 업데이트했다고 해도 안심할 수가 없다"면서 "해당 파일을 클릭하는 순간 악성코드가 다운로드 된다"고 설명했다.
◎공감언론 뉴시스 [email protected]
Copyright © NEWSIS.COM, 무단 전재 및 재배포 금지
