랜섬웨어뉴스

시스템 침해, 정보 탈취, 사이버 첩보 활동 등에 활용

윈도우의 심각한 취약점(ZDI-CAN-25373)이 북한, 이란, 러시아, 중국을 포함한 최소 11개의 국가 지원 해킹 그룹에 의해 2017년부터 적극적으로 악용된 것으로 드러났다. 이 취약점은 윈도우 바로가기(.lnk) 파일을 통해 악성 코드 실행을 가능하게 해 시스템 침해, 정보 탈취, 사이버 첩보 활동 등에 활용됐다.

트렌드마이크로(Trend Micro)의 제로데이 이니셔티브(ZDI)는 이 취약점을 악용한 악성 바로가기(.lnk) 파일이 거의 1,000개에 달하는 것을 발견했다. 이 파일들은 명령줄 인자(Command Line Arguments) 내에 공백 문자를 패딩하여 추가하는 방식으로 악성 코드를 숨겼다. 사용자가 윈도우 인터페이스에서 파일을 확인하더라도 공격자가 추가한 악성 인자는 표시되지 않기 때문에, 감염 여부를 쉽게 알아차릴 수 없는 것이 특징이다.

그러나 마이크로소프트는 해당 취약점이 보안 업데이트를 통해 즉시 해결할 필요가 있는 수준이 아니라는 입장을 밝혔다. 2024년 9월, 해당 취약점이 마이크로소프트의 취약점 심각도 기준을 충족하지 않는다고 판단하여 패치를 제공하지 않겠다고 발표했다. 다만, 향후 기능 업데이트를 통해 문제를 해결할 가능성은 열어두었다.

이 취약점은 북한의 해킹 그룹 ‘킴수키(APT43)’, 중국 기반 ‘머스탱 판다(Mustang Panda)’, 러시아의 금융 범죄 조직 ‘이블 콥(Evil Corp)’을 포함한 여러 국가 지원 해킹 그룹에 의해 악용된 것으로 조사됐다. 공격자들은 이 취약점을 이용해 우르스니프(Ursnif), 고스트 RAT(Gh0st RAT), 트릭봇(Trickbot)과 같은 악성코드를 배포했으며, 이러한 공격의 70% 이상이 정보 탈취 및 사이버 첩보 활동과 관련된 것으로 분석됐다. 주요 공격 대상 지역은 북미, 남미, 유럽, 동아시아, 호주 등 전 세계에 걸쳐 있다.

보안 전문가들은 해당 취약점이 아직 패치되지 않은 만큼, 개별 사용자 및 기업이 자체적인 보안 조치를 강화해야 한다고 조언했다. 우선, 직원들에게 의심스러운 파일과 링크를 열지 않도록 교육하고, 보안 경고를 확인하는 습관을 기르는 것이 중요하다. 또한, 고급 엔드포인트 보안 솔루션을 도입해 악성 바로가기(.lnk) 파일과 연관된 악성 활동을 탐지하고 차단할 필요가 있다. 네트워크 내부에서도 침해 가능성을 최소화하기 위해 구역별 보안 정책을 적용하고, 시스템의 중요 데이터 접근을 제한하는 것이 효과적인 대응책이 될 수 있다.

마이크로소프트가 향후 보안 업데이트를 제공할 가능성이 있는 만큼, 사용자들은 공식 보안 공지를 지속적으로 모니터링하며 새로운 대응 방안이 발표될 경우 즉시 적용해야 한다. 현재로서는 신뢰할 수 없는 출처에서 파일을 다운로드하지 않고, 파일 실행 전 신중하게 검토하는 보안 의식을 유지하는 것이 중요하다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

[ 데일리시큐 ] 길민권 기자 전문보기