우리는 종종 이메일을 통해 ‘인보이스’, ‘결제 확인서’, ‘세금계산서’ 등의 문서를 받습니다. 대부분 PDF처럼 보이는 문서 파일들이지만, 실제로는 .lnk 파일(윈도우 바로가기 파일) 이 위장된 형태일 수 있습니다.
이런 공격은 단순한 속임수가 아닙니다. 최근 사이버 공격자들은 윈도우 내부에 이미 존재하는 정상적인 도구들만을 활용해 공격을 수행하는 방식, 즉 LotL (Living off the Land) 기법을 적극적으로 사용하고 있습니다.
LotL (Living off the Land) 이란?
LotL은 '자연 상태에서 살아간다'는 뜻처럼 들리지만, 보안에서는 운영체제 내부에 원래부터 존재하는 정당한 도구들을 해킹에 악용하는 기술을 의미합니다. 해커는 더 이상 외부에서 무거운 악성코드를 들여오지 않습니다. 오히려 피해자의 시스템 안에 이미 설치되어 있는 도구들을 사용해 공격을 감행합니다.
예를 들어:
- PowerShell
- WMIC
- MSHTA
- bitsadmin
- certutil
이런 도구들은 원래 시스템 관리나 유지보수 목적의 정상 프로그램입니다. 그러나 해커의 손에 들어가면 이들은 명령 실행, 악성코드 다운로드, 정보 탈취 등 다양한 용도로 탈바꿈합니다.
LNK 파일 + LotL = 보이지 않는 공격
공격자들은 먼저 사용자가 의심 없이 파일을 실행하도록 유도합니다. 대표적인 수법은 다음과 같습니다.
"세금계산서를 확인해 주세요."
"거래 명세서를 첨부하였습니다."
이런 메일에는 세금계산서_2025_06.pdf.lnk 같은 파일이 첨부되어 있습니다. 얼핏 보면 PDF처럼 보이지만, 확장자는 .lnk, 즉 윈도우 바로가기 파일입니다.
사용자가 이 파일을 클릭하는 순간, 백그라운드에서는 아래와 같은 일이 벌어집니다.
- .lnk 파일이 PowerShell을 실행합니다.
- PowerShell은 공격자가 지정한 URL로부터 2차 악성코드를 다운로드합니다.
- 이 악성코드는 사용자 몰래 실행되며, 정보 탈취나 랜섬웨어 설치 등으로 이어질 수 있습니다.
LotL의 무서운 점은, 이 모든 과정에 ‘정상 도구’만 사용된다는 것입니다. 보안 솔루션이 탐지하기 어렵고, 사용자는 감염 사실조차 인지하지 못한 채 피해가 확산됩니다.
감염은 '클릭'에서 시작됩니다
많은 사용자는 “파일만 열었을 뿐인데?”라고 생각합니다. 하지만 LotL 기반 공격은 ‘열기’라는 행위를 통해 내부 자원을 무기로 바꾸는 치밀한 설계로 움직입니다. 특히 스마트폰 환경에서는 보안이 더욱 취약합니다.
작은 화면, 터치 조작, 설치된 보안 프로그램의 한계 등으로 인해 피싱 링크 하나만 클릭해도 시스템이 손쉽게 무너질 수 있습니다.
블랙쏘세지로 안전하게 링크를 보세요.
블랙쏘세지는 원격 브라우저 격리 기술을 기반으로, 사용자가 클릭한 링크를 스마트폰에서 실행하지 않고, 안전한 원격 환경에서 열어줍니다. 즉, 악성 .lnk 파일이나 스크립트가 포함된 페이지가 열리더라도, 사용자의 스마트폰은 그 코드와 전혀 접촉하지 않습니다.
어떤 링크든, 실행하지 않고, 확인만 하고 싶다면 블랙쏘세지를 이용하세요.
'보안 > 용어' 카테고리의 다른 글
| 내부에서 연결을 건다 — Reverse Shell (0) | 2025.05.23 |
|---|---|
| ‘BPF도어’…보안 기술이 악성코드로 돌아오다 (0) | 2025.05.22 |
| 해커를 유인하는 꿀단지, 허니팟(Honeypot)이란? (0) | 2025.05.15 |
| SK텔레콤, 유출된 유심(USIM) 안전할까요? – 'SIM 스와핑'의 진짜 무서운 이야기 (2) | 2025.04.25 |
| 비트코인 주소 포이즈닝 공격을 들어보셨나요? (0) | 2025.04.24 |
