Notepad++ 업데이트 방식을 악용한 악성코드 유포

유명 텍스트 에디터인 Notepad++의 공식 업데이트 메커니즘이 침해되어 특정 사용자들에게 악성코드가 유포된 사건이 발생했습니다.

주요 내용은 다음과 같습니다.

1. 사건 개요

• 공격 방식: Notepad++의 업데이트 트래픽을 가로채서 악성 서버로 리다이렉트(우회)시키는 인프라 수준의 공격이 발생했습니다.
• 원인: Notepad++ 자체 코드의 취약점이 아니라, 서비스를 호스팅하던 호스팅 제공업체 수준의 침해로 인해 발생했습니다. 공격자는 호스팅 서버의 권한을 얻어 업데이트 경로를 조작했습니다.

2. 공격 주체 및 대상

• 공격자: 보안 연구가 및 업계에서는 이번 공격을 중국 배후의 국가 지원 해킹 그룹인 **'바이올렛 타이푼(Violet Typhoon, 일명 APT31)'**의 소행으로 보고 있습니다.
• 표적: 공격은 모든 사용자가 아닌 특정 대상을 겨냥한(Targeted) 방식으로 이루어졌습니다. 주로 동아시아 지역의 통신 및 금융 서비스 조직을 노린 것으로 분석됩니다.

3. 상세 타임라인 및 기술적 결함

• 공격 기간: 이 침해는 2025년 6월부터 시작되어 약 6개월간 지속된 것으로 보입니다.
• 세부 사항: 호스팅 업체에 따르면 공유 호스팅 서버는 2025년 9월 초까지 침해된 상태였으나, 공격자들은 그 이후에도 내부 서비스 자격 증명을 유지하여 2025년 12월 초까지 업데이트 트래픽을 계속 조작할 수 있었습니다.
• 취약점: Notepad++의 업데이트 도구인 'WinGUp'이 다운로드된 파일의 무결성과 진본성을 검증하는 방식에 허점이 있었고, 이를 통해 공격자가 네트워크 트래픽을 가로채서 변조된 실행 파일을 내려받도록 속일 수 있었습니다.

4. 대응 조치

• 서버 이전: Notepad++ 개발자인 Don Ho는 보안을 강화하기 위해 웹사이트를 보다 강력한 보안 관행을 가진 새로운 호스팅 업체로 이전했습니다.
• 업데이트 강화: 무결성 보장을 위해 업데이트 프로세스에 추가적인 보호 장치(Guardrails)를 도입하여 보안을 강화했습니다.
• 버전 업데이트: 앞서 8.8.9 버전에서 관련 리다이렉션 문제를 해결하기 위한 조치가 일부 이루어진 바 있습니다.

요약하자면, 이번 사건은 소프트웨어 자체의 버그보다는 공급망(Supply Chain)과 인프라 보안의 허점을 노린 공격으로, 특정 기업 및 기관을 노리고 악성코드를 심기 위해 공식 업데이트 경로를 악용한 사례입니다. Notepad++ 사용자는 반드시 최신 버전으로 업데이트하고, 공식 경로를 통해 설치되어 있는지 확인하는 것이 권장됩니다.