악의적인 공격자들은 지속적인 맬웨어 공격에서 LNK 파일을 지속적으로 악용하고 있으며, 사용자에게 유해한 콘텐츠를 숨기는 근본적인 취약점을 악용하고 있습니다. Microsoft가 아직 이 취약점을 해결하지 못했기 때문에 LNK 파일을 다룰 때는 각별한 주의가 필요합니다.이 가이드에서는 이러한 파일 유형의 잠재적 악용을 방지하기 위한 중요한 단계를 제공합니다.
LNK 파일 이해: LNK 파일이 초래하는 위험
Windows 운영 체제에서 바로가기로 생성되는 LNK 파일은.lnk 확장자를 가집니다.이러한 바탕 화면 바로가기를 만들거나 애플리케이션에서 바로가기를 만들도록 허용하는 것에 익숙하실 수도 있지만, Windows에서는.lnk 확장자를 숨기고 독특한 가로 화살표 아이콘으로 대체한다는 점에 유의해야 합니다.
이러한 바로가기는 사용자를 지정된 파일이나 애플리케이션으로 안내하지만, 대상 필드에 명령줄 명령어를 삽입하도록 조작될 수 있다는 위험한 기능을 가지고 있습니다.이 기능을 통해 사이버 범죄자는 Astaroth와 같은 악성코드가 대표적인 파일리스 공격에 자주 사용되는 유해한 스크립트를 실행할 수 있습니다.
특히 위험한 점은 공격자가 대상 필드에 과도한 공백을 사용하여 악성 스크립트를 숨길 수 있다는 것입니다.결과적으로 사용자는 악성 스크립트가 백그라운드에서 실행되는 동안 무해한 대상 주소만 볼 수 있습니다.이 취약점은 ID: CVE-2025-9491로 추적됩니다.
일반적으로 사기성.lnk 파일은 보관 파일 내에 숨겨져 있으며, “Instructions.pdf.ink”와 같이 오해의 소지가 있는 이름을 사용합니다. Windows에서는 파일 확장자를 표시하지 않기 때문에 사용자가 해당 파일을 “Instructions.pdf”로 잘못 인식하여 열자마자 자신도 모르게 공격을 시작할 수 있습니다.
Windows에서 LNK 파일 확장자 표시
이러한 위협에 대한 첫 번째 방어선은 LNK 파일을 실제 파일이 아닌 바로가기로 인식하는 것입니다. LNK 파일은 로컬 또는 네트워크 환경에서 작동하도록 설계되었으므로, 외부 소스에서 원치 않는 LNK 파일은 피싱 시도일 가능성이 높습니다.
LNK 파일 식별을 향상시키려면 Windows에서.lnk 확장자를 표시하도록 설정할 수 있습니다.표준 파일 확장자 토글은.lnk 파일에 적용되지 않으므로 레지스트리를 수정해야 합니다.먼저 시스템 설정에서 “파일 확장자 표시” 옵션을 활성화한 후 다음 레지스트리 변경 사항을 적용하세요.
중요: 레지스트리를 변경하기 전에 백업하세요.잘못된 변경은 시스템 불안정이나 데이터 손실로 이어질 수 있습니다.
레지스트리에 접속하여 다음으로 이동하세요.
HKEY_CLASSES_ROOT\lnkfile
해당 NeverShowExt문자열을 찾아 삭제하세요.변경 사항을 적용하려면 PC를 다시 시작하세요.그러면 모든 바로가기의 확장자가.lnk로 표시됩니다.주의하시고.ink 파일이라고 주장하는 파일은 열지 마세요.
안전을 위한 LNK 파일 분석
의심스러운 LNK 파일을 발견하면 대상 필드를 자세히 살펴보는 것이 좋습니다.파일을 마우스 오른쪽 버튼으로 클릭하고 속성을 선택하세요.바로 가기 탭 에서 대상 필드를 자세히 살펴보세요.
합법적인 바로가기는 실행 파일의 정확한 경로를 따옴표로 묶어 표시해야 합니다.경로가 cmd.exe, powershell.exe 또는 mshta.exe와 같은 명령 도구로 연결되는 경우 악의적인 의도를 나타낼 수 있습니다.또한, 문자열 끝에 무작위 문자나 이진 시퀀스가 있는 경우 악의적인 활동을 암시할 수 있습니다.
자동 재생 및 파일 미리 보기 비활성화
과거에는 USB 드라이브의 Windows 자동 실행 기능과 파일 탐색기의 파일 미리보기 옵션이 LNK 파일을 통한 악용에 취약했습니다. Microsoft가 보안 조치를 강화했지만, 이러한 기능은 여전히 위험을 초래할 수 있습니다.업무 흐름에 필수적이지 않다면 보안 강화를 위해 비활성화하는 것이 좋습니다.
자동 실행을 비활성화하려면 Windows 설정 → Bluetooth 및 장치 → 자동 실행 으로 이동하여 스위치를 켜서 끄세요.파일 미리보기 설정 관리에 대한 자세한 내용은 종합 가이드를 참조하세요.
제어된 폴더 액세스 활성화
제어된 폴더 액세스는 문서, 사진, 바탕 화면과 같은 중요한 폴더를 무단 변경, 특히 랜섬웨어 공격으로부터 보호하기 위해 설계된 Windows 기능입니다.많은 LNK 파일 공격이 이러한 디렉터리를 표적으로 삼아 악의적인 활동을 수행하므로, 이 기능을 활성화하면 중요한 보안 계층이 추가됩니다.활성화에 대한 자세한 내용은 가이드를 참조하세요.
PowerShell 보안 강화
LNK 파일 공격은 PowerShell 명령을 사용하여 유해한 작업을 실행하는 경우가 많습니다.이러한 위험을 완화하려면 PowerShell 작업을 서명된 스크립트로만 제한하세요. Windows 검색 창에 “powershell”을 입력하고 애플리케이션을 마우스 오른쪽 버튼으로 클릭한 후 “관리자 권한으로 실행 “을 선택하세요.다음 명령을 입력하고 “y”를 입력하여 변경 사항을 확인하세요.
Set-ExecutionPolicy AllSigned
이 설정은 특히 기업 환경에서 사용자 지정 PowerShell 스크립트에 의존하는 워크플로에 방해가 될 수 있습니다.이 변경 사항을 되돌리려면 다음을 사용하세요.
Set-ExecutionPolicy Undefined
또한 PowerShell 보안을 강화하기 위한 추가 팁을 보려면 가이드를 참조하세요.
경험상 주의해야 할 점은 직접 만들었거나 신뢰할 수 있는 애플리케이션을 통해 생성 권한을 부여받지 않은 LNK 파일은 열지 않는 것입니다.특히 인터넷에서 다운로드한 파일에는 더욱 그렇습니다.특히 일부 기능이 비활성화된 경우, 최대한의 보안을 위해 Windows 보안 기능을 항상 활용하십시오.
답글 남기기