마이크로소프트(MS) 윈도우 바로가기 파일(.lnk) 처리 과정에서 발생하는 보안 취약점이 지난 8년간 북한·러시아 등 11개 국가지원 해킹조직(APT)악용된 것으로 나타났다.
특히 마이크로소프트는 보안 기업으로부터 해당 취약점을 제보 받고도 '기준 미달'이라며 패치를 거부하던 중 사태가 커지자 최근 은밀하게 수정을 진행해 논란이 일고 있다.
7일 트렌드마이크로와 제로데이 이니셔티브(ZDI)에 따르면 'ZDI-CAN-25373(CVE-2025-9491)'로 명명된 취약점관련 보고서를 발표했다.
보고서에 따르면 공격자들은 이 허점을 이미 2017년 1월부터 알고 적극적으로 활용해 왔다. 트렌드마이크로가 1천여 개 악성 샘플을 분석한 결과 북한의 김수키, 스카크러프트, 코니를 비롯해 러시아와 중국, 이란 등 최소 11개 정부 산하 지능형 지속적 위협(APT) 그룹이 이 방식을 사용한 것으로 나타났다.
이들은 주로 정부 기관, 방위 산업, 금융(가상자산), 에너지 기업 등을 노렸으며, 공격의 70% 이상은 기밀 탈취 목적의 사이버 스파이 행위였다.
이 취약점은 바로가기 파일의 속성을 표시하는 창의 글자 수에 제한이 있다는 점을 악용한 '공백 채우기(Padding)' 기법이다. 명령어 앞부분에 공백 문자를 무수히 입력하면 실제 악성 코드는 화면 밖으로 밀려나게 된다.
이로 인해 사용자가 파일 검증을 위해 속성 창을 열어보더라도 악성 명령어는 보이지 않는다. 결국 해당 바로가기 파일을 안전하다고 오해해 실행할 경우 백그라운드에서 숨겨진 악성코드가 작동하는 방식이다.
문제는 마이크로소프트의 대응이다. ZDI 측이 해당 취약점을 발견하고 제보했으나 마이크로소프트측에서 '보안 서비스 기준'을 충족하지 않는다'며 패치 계획이 없다고 통보했다는 설명이다. 사용자가 파일을 직접 실행해야 한다는 점 등을 들어 심각도를 낮게 평가한 것이다.
하지만 이 취약점이 CVE-2025-9491로 공식 등재되고 위험성이 부각되자 태도가 바뀌었다.
보안 업계 확인 결과 MS는 별도의 공지 없이 최근 윈도우 업데이트에 해당 문제를 해결하는 코드를 포함시킨 것으로 파악됐다. 8년간 방치되던 보안 취약점을 별도의 보안 권고문 등의 발표 없이 조용히 넘어간 것이다.
더불어 보안 전문가들은 최신 패치가 나왔더라도 안심할 수 없다고 지적한다. 업데이트가 적용되지 않은 구형 시스템은 여전히 위험에 노출돼 있기 때문이다.
특히 최근 국내에서는 대기업, 정부부처, 가상자산, 방산기업 등을 대상으로 한 이메일 해킹 시도가 끊이지 않고 있다. 이러한 공격의 상당수가 '문서 파일'이나 '바로가기 파일'을 위장해 침투하는 방식인 만큼 해당 취약점이 연관됐을 가능성도 제기된다.
관련기사
- 트렌드마이크로 "2024년 AI 기반 공격 확산 전망”2023.12.22
- "해킹 사고, 10월 누적 2천건 육박…작년비 29% 늘어"2025.12.05
- "쿠팡 사태 남 일 아니다"…플랫폼 업계 보안 전면 재점검2025.12.03
- 넷플릭스-워너브라더스 인수는 독점규제 심사 넘을까2025.12.07
트렌드마이크로는 "수년간 마이크로소프트의 보안 조치가 이뤄지지 않았던 만큼 기업 보안 담당자들의 각별한 주의가 필요하다"며 "기업 보안 담당자는 EDR 솔루션을 통해 명령프롬프트(cmd)나 파워쉘이 바로가기 파일을 통해 실행되는 비정상적인 행위를 집중 모니터링해야 한다"고 조언했다.
또한 "사용자들에게는 이메일이나 메신저로 전달된 출처가 불분명한 바로가기 파일은 절대 실행하지 말 것"을 당부했다.
