개요

Windows 바로가기(LNK)는 사용자 편의를 위해 설계되었으나 초기 침투 수단으로 오랫동안 악용되어 왔다. 특히 2022년 Microsoft의 매크로 차단 정책이 강화되면서 최근 공격자들이 ISO, RAR, LNK 파일 등을 활용한 공격을 점점 더 자주 시도하는 경향을 보이고 있다. LNK는 주로 이메일 첨부나 압축 파일 내부에 위장되어 유포되며, 실행 시 PowerShell, cmd.exe, mshta.exe 등 신뢰된 시스템 도구를 호출해 정상 프로세스처럼 보이는 형태로 페이로드 실행을 이어간다.

이러한 공격을 제한하기 위해 Windows는 인터넷에서 내려받은 파일에 Mark of the Web(MoTW)이라는 메타데이터를 부여하고, 이를 근거로 SmartScreen 및 Smart App Control(SAC)이 평판/정책 검사를 수행한다. 그러나 2024년 Elastic Security Labs가 공개한 LNK Stomping은 Explorer의 경로 정규화 과정을 악용해 MoTW를 제거함으로써 상기 검사를 우회할 수 있음을 보였고, 해당 이슈는 CVE-2024-38217로 2024년 9월 10일 패치되었으며 CISA KEV에도 등재되었다. 본 글에서는 LNK Stomping의 개념과 동작 메커니즘을 정리하고, 이에 대한 보안 시사점을 제시한다.

LNK 파일

LNK 파일은 Windows에서 사용하는 바로가기(Shortcut) 파일 형식으로, 실제 파일이나 폴더, 프로그램의 위치를 가리키는 링크 정보를 담고 있다. Windows Shell은 LNK 파일의 구조를 해석해 지정된 대상(파일/프로그램 또는 폴더)을 실행 또는 열어준다. 이 과정에서 LNK 파일에 저장된 다양한 메타데이터와 실행 옵션들이 활용되는데, 이러한 특성이 공격자들에게 악용되는 주요 원인이 된다.

* 전체내용은 아래에서 확인하세요.

https://asec.ahnlab.com/ko/90179/