생성형 AI 악용 의심 사례: LNK 파일에서 시작된 키로거 공격
생성형 AI가 보안 업무를 돕는 강력한 도구지만, 공격자에게도 악성코드 제작을 손쉽게 만드는 수단이 될 수 있다. 정상 문서처럼 보이는 LNK 파일을 실행하면, 백그라운드에서 PowerShell 스크립트가 순차적으로 실행되고 키로거까지 동작하는 사례가 확인됐다. 특히 최종 스크립트에는 학습·모니터링 목적을 설명하는 듯한 주석이 포함돼 있어, 공격자가 이를 통해 생성형 AI의 악용 방지 정책을 우회했을 가능성도 제기된다. 문서로 위장한 LNK 파일에서 시작해 PowerShell 기반 키로거 실행으로 이어지는 공격 흐름과 대응 포인트를 살펴보자.
안랩은 최근 Dropbox를 통해 추가 PowerShell 스크립트를 다운로드하는 악성 LNK 파일을 확인했다. 해당 LNK 파일은 실행 시 디코이 PDF 문서를 생성 및 실행해 사용자의 의심을 낮추고, 백그라운드에서는 추가 스크립트를 다운로드해 작업 스케줄러 등록과 PowerShell 기반 키로거 실행을 수행한다.
이번 사례는 문서 파일로 위장한 LNK 파일이 시작점이다. 사용자가 파일을 실행하면 임시 경로에 PowerShell 스크립트가 생성되고, 해당 스크립트는 Dropbox에서 추가 PowerShell 스크립트를 다운로드해 실행한다. 이후 디코이 PDF 파일이 실행되는데, 이로 인해 사용자는 정상 문서를 열었다고 인식할 수 있지만, 실제로는 후속 악성 행위가 함께 진행된다.
정상 문서 실행 뒤 이어지는 PowerShell 감염 흐름
공격자는 사용자의 의심을 피하기 위해 디코이 PDF를 활용했다. LNK 실행 후 다운로드된 스크립트는 PDF 문서를 실행한 뒤, 기존 LNK 파일을 삭제하고 PDF 문서를 원본 문서명처럼 보이도록 배치한다. 이 과정은 사용자가 악성 LNK 실행 사실을 인지하기 어렵게 만드는 위장 기법으로 볼 수 있다.
이후 추가 PowerShell 스크립트는 UserLoginTask라는 이름의 작업 스케줄러를 등록한다. 등록된 작업은 임시 경로에 또 다른 PowerShell 스크립트를 생성하고, 최종 스크립트를 내려받아 실행하는 역할을 한다. 즉, 공격자는 작업 스케줄러를 이용해 악성 스크립트가 지속적으로 실행될 수 있는 환경을 만든 것이다.
이런 방식은 단일 악성 파일 실행으로 끝나는 것이 아니라, 여러 단계의 스크립트를 거쳐 최종 악성 기능을 수행한다는 점에서 주의가 필요하다. 특히 PowerShell과 작업 스케줄러는 정상 관리 업무에서도 사용되는 기능이기 때문에, 보안 솔루션이나 관리자가 행위 기반으로 함께 살펴보지 않으면 탐지가 어려울 수 있다.
키 입력·클립보드 수집부터 명령 실행까지
최종적으로 실행되는 스크립트는 PowerShell 기반 키로거다. 공격자는 감염된 PC에 특정 작업을 전달해 키보드 입력과 클립보드 내용을 수집하거나, 시스템 정보와 프로세스 목록을 확인할 수 있다. 또한 공격자가 전달한 명령을 실행하는 기능도 포함되어 있어, 단순 정보 탈취를 넘어 후속 공격에 활용될 가능성도 있다.
확인된 주요 기능은 다음과 같다.
| 작업 | 기능 |
|---|---|
| keyboard | 수집된 키보드 입력 및 클립보드 로그 업로드 |
| snapshot | OS, CPU, BIOS, 디스크, 네트워크 등 시스템 정보와 프로세스 목록 업로드 |
| process | 실행 중인 프로세스명, PID, CPU·메모리 사용량, 실행 경로 정보 업로드 |
| shell | 공격자가 전달한 명령을 PowerShell 형태로 실행 |
이처럼 해당 키로거는 사용자의 입력 정보를 탈취하는 데 그치지 않고, 감염 시스템의 상태를 파악하고 추가 명령까지 실행할 수 있는 구조를 갖추고 있다. 이는 공격자가 감염 시스템의 상태를 파악하거나, 추가 명령 실행에 필요한 정보를 수집하는 데 활용될 수 있음을 의미한다.
생성형 AI 악용 가능성도 제기
이번 사례에서 특히 눈에 띄는 부분은 최종 키로거 스크립트에 포함된 주석과 코드 구조다. 스크립트 상단에는 Advanced PowerShell Keyboard and Clipboard Logger, Author: PowerShell Implementation, educational/legitimate monitoring purposes only와 같은 문구가 포함돼 있었다. 또한 예제나 학습 코드에서 주로 확인되는 문자열도 다수 존재했다.
직접적인 생성 과정이 확인된 것은 아니지만, 이러한 구조와 주석 형태를 고려하면 공격자가 학습 또는 합법적 모니터링 목적을 가장해 생성형 AI의 악용 방지 정책을 우회했을 가능성이 있다. 생성형 AI가 코드 작성과 자동화에 유용하게 활용되는 만큼, 공격자도 이를 악성 스크립트 제작이나 변형에 활용할 수 있다는 점을 경계해야 한다.
보안 담당자가 확인해야 할 사항
이번 공격은 LNK 파일, 디코이 문서, 클라우드 저장소, PowerShell, 작업 스케줄러가 결합된 형태다. 따라서 사용자는 문서처럼 보이는 파일이라도 실제 확장자가 LNK인지 확인해야 하며, 출처가 불분명한 파일은 실행하지 않는 것이 중요하다.
기업 보안 담당자는 다음 항목을 중심으로 감염 여부를 점검할 필요가 있다.
- 의심스러운 LNK 파일 실행 이력
- 임시 경로에 생성된 PowerShell 스크립트
- UserLoginTask 등 비정상 작업 스케줄러 등록 여부
- Dropbox 등 외부 클라우드 저장소를 통한 스크립트 다운로드 정황
- 키보드 입력, 클립보드, 시스템 정보, 프로세스 정보 수집 흔적
- PowerShell 기반 인코딩 명령 실행 또는 원격 명령 실행 정황
감염이 의심되는 경우 작업 스케줄러에 등록된 의심 작업을 삭제하고, 임시 경로에 생성된 스크립트 및 로그 파일을 확인해야 한다. 특히 키 입력 및 클립보드 로그, 시스템 스냅샷, 프로세스 목록, 명령 실행 결과와 관련된 파일이 생성돼 있는지 점검하는 것이 필요하다.
이번 사례는 생성형 AI 악용 가능성과 함께, 정상 기능을 조합한 스크립트 기반 공격의 위험성을 보여준다. 보안 담당자는 단순 파일 탐지뿐 아니라 PowerShell 실행 흐름, 작업 스케줄러 등록, 외부 저장소 연결 행위 등을 함께 모니터링해 유사 공격을 조기에 탐지해야 한다.
- AhnLab콘텐츠마케팅팀
