【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[IT뉴스]8년간 北해킹 악용 '윈도우 바로가기'…MS, 뒤늦은 도둑 패치

온카뱅크관리자

2025-12-07 09:57:30

<div id="layerTranslateNotice" style="display:none;"></div> 제보 받고도 기준미달로 대응 거부…북한·러시아 등 해커조직 악용 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="zLlAX5WIj0">
 (지디넷코리아=남혁우 기자)마이크로소프트(MS) 윈도우 바로가기 파일(.lnk) 처리 과정에서 발생하는 보안 취약점이 지난 8년간 북한·러시아 등 11개 국가지원 해킹조직(APT)악용된 것으로 나타났다.
 특히 마이크로소프트는 보안 기업으로부터 해당 취약점을 제보 받고도 '기준 미달'이라며 패치를 거부하던 중 사태가 커지자 최근 은밀하게 수정을 진행해 논란이 일고 있다.
 7일 트렌드마이크로와 제로데이 이니셔티브(ZDI)에 따르면 'ZDI-CAN-25373(CVE-2025-9491)'로 명명된 취약점관련 보고서를 발표했다.
 <figure class="figure_frm origin_fig" contents-hash="e44963d475397fcb6582f489254b5042184007079a7a26031b9affd31f17ebc7" dmcf-pid="KqiVcEaeg1" dmcf-ptype="figure">
 <img alt="트렌드마이크로에 따르면 바로가기 취약점은 북한 해커가 가장 많이 악용한 것으로 나타났다(이미지=트렌드마이크로)" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202512/07/ZDNetKorea/20251207095051930hboz.png" data-org-width="640" dmcf-mid="uXJ2AkgRaU" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202512/07/ZDNetKorea/20251207095051930hboz.png" width="658">
 <figcaption class="txt_caption default_figure">
 트렌드마이크로에 따르면 바로가기 취약점은 북한 해커가 가장 많이 악용한 것으로 나타났다(이미지=트렌드마이크로)
 </figcaption>
 </figure>
 보고서에 따르면 공격자들은 이 허점을 이미 2017년 1월부터 알고 적극적으로 활용해 왔다. 트렌드마이크로가 1천여 개 악성 샘플을 분석한 결과 북한의 김수키, 스카크러프트, 코니를 비롯해 러시아와 중국, 이란 등 최소 11개 정부 산하 지능형 지속적 위협(APT) 그룹이 이 방식을 사용한 것으로 나타났다.
 이들은 주로 정부 기관, 방위 산업, 금융(가상자산), 에너지 기업 등을 노렸으며, 공격의 70% 이상은 기밀 탈취 목적의 사이버 스파이 행위였다.
 이 취약점은 바로가기 파일의 속성을 표시하는 창의 글자 수에 제한이 있다는 점을 악용한 '공백 채우기(Padding)' 기법이다. 명령어 앞부분에 공백 문자를 무수히 입력하면 실제 악성 코드는 화면 밖으로 밀려나게 된다.
 이로 인해 사용자가 파일 검증을 위해 속성 창을 열어보더라도 악성 명령어는 보이지 않는다. 결국 해당 바로가기 파일을 안전하다고 오해해 실행할 경우 백그라운드에서 숨겨진 악성코드가 작동하는 방식이다.
 <figure class="figure_frm origin_fig" contents-hash="3651e7bac69ff7166b667ef65515fe93be83d91b2cd9212959560ef22acca81b" dmcf-pid="42aPrskLkG" dmcf-ptype="figure">
 <img alt="트렌드마이크로에서 공개한 윈도 바로가기 취약점 악용 조직 분포도 (사진=트렌드마이크로)" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202512/07/ZDNetKorea/20251207095053163qbbd.png" data-org-width="640" dmcf-mid="7hNQmOEogp" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202512/07/ZDNetKorea/20251207095053163qbbd.png" width="658">
 <figcaption class="txt_caption default_figure">
 트렌드마이크로에서 공개한 윈도 바로가기 취약점 악용 조직 분포도 (사진=트렌드마이크로)
 </figcaption>
 </figure>
 문제는 마이크로소프트의 대응이다. ZDI 측이 해당 취약점을 발견하고 제보했으나 마이크로소프트측에서 '보안 서비스 기준'을 충족하지 않는다'며 패치 계획이 없다고 통보했다는 설명이다. 사용자가 파일을 직접 실행해야 한다는 점 등을 들어 심각도를 낮게 평가한 것이다.
 하지만 이 취약점이 CVE-2025-9491로 공식 등재되고 위험성이 부각되자 태도가 바뀌었다.
 보안 업계 확인 결과 MS는 별도의 공지 없이 최근 윈도우 업데이트에 해당 문제를 해결하는 코드를 포함시킨 것으로 파악됐다. 8년간 방치되던 보안 취약점을 별도의 보안 권고문 등의 발표 없이 조용히 넘어간 것이다.
 더불어 보안 전문가들은 최신 패치가 나왔더라도 안심할 수 없다고 지적한다. 업데이트가 적용되지 않은 구형 시스템은 여전히 위험에 노출돼 있기 때문이다.
 특히 최근 국내에서는 대기업, 정부부처, 가상자산, 방산기업 등을 대상으로 한 이메일 해킹 시도가 끊이지 않고 있다. 이러한 공격의 상당수가 '문서 파일'이나 '바로가기 파일'을 위장해 침투하는 방식인 만큼 해당 취약점이 연관됐을 가능성도 제기된다.
 트렌드마이크로는 "수년간 마이크로소프트의 보안 조치가 이뤄지지 않았던 만큼 기업 보안 담당자들의 각별한 주의가 필요하다"며 "기업 보안 담당자는 EDR 솔루션을 통해 명령프롬프트(cmd)나 파워쉘이 바로가기 파일을 통해 실행되는 비정상적인 행위를 집중 모니터링해야 한다"고 조언했다.
 또한 "사용자들에게는 이메일이나 메신저로 전달된 출처가 불분명한 바로가기 파일은 절대 실행하지 말 것"을 당부했다.
 남혁우 기자(firstblood@zdnet.co.kr)
 </section> 
 </div> 
 Copyright © 지디넷코리아. 무단전재 및 재배포 금지.

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기