라떼군 이야기
Notepad++도 뚫렸다: 국가 지원 해커들의 치밀한 공급망 공격 분석
TL;DR 2025년 6월부터 12월까지 중국 추정 국가 지원 해커들이 Notepad++의 공유 호스팅 인프라를 장악해 업데이트 트래픽을 가로채는 사건이 발생했습니다. 공격자는 특정 타깃에게만 악성 업데이트를 배포하는 정교함을 보였으며, 현재는 호스팅 이전 및 업데이트 서명 검증 강화(XMLDSig)로 문제가 해결되었습니다.
개발자라면 누구나 한 번쯤 거쳐 갔을 국민 에디터, Notepad++가 심각한 보안 사고를 겪었습니다. 이번 사건은 단순한 소프트웨어 버그 악용이 아니라, 호스팅 인프라 자체가 장악당해 정상적인 업데이트 경로가 조작된 전형적인 ‘공급망 공격’입니다. 특히 이번 공격의 배후로 국가 지원을 받는 해킹 그룹이 지목되면서, 오픈소스 소프트웨어의 보안 취약점이 얼마나 치명적인 결과를 초래할 수 있는지 보여주는 중요한 사례가 되었습니다.
핵심 내용
공격은 2025년 6월부터 12월 2일까지 지속되었으며, 보안 전문가들은 이를 중국 연계 해커 그룹의 소행으로 보고 있습니다. 해커들은 Notepad++의 코드를 직접 수정한 것이 아니라, 공유 호스팅 업체의 인프라를 침해하여 notepad-plus-plus.org로 향하는 업데이트 트래픽을 가로챘습니다. 호스팅 업체가 9월에 서버 접근을 차단했음에도 불구하고, 탈취한 내부 서비스 자격 증명을 이용해 12월까지 트래픽 리다이렉션을 유지했습니다. 이들은 불특정 다수가 아닌 특정 타깃 사용자에게만 선별적으로 악성 업데이트를 배포했으며, 현재 Notepad++ 측은 호스팅을 이전하고 업데이트 파일 및 XML 설정 파일에 대한 암호화 서명 검증을 강화하여 대응을 완료했습니다.
기술적 인사이트
엔지니어 관점에서 이번 사건은 ‘심층 방어(Defense in Depth)‘의 실패와 중요성을 동시에 보여줍니다. 호스팅 레벨(인프라)이 뚫렸을 때, 애플리케이션 레벨(Notepad++ 클라이언트)에서 이를 방어할 수단이 부족했습니다. 기존에는 HTTPS에 의존했으나, 공격자가 도메인 트래픽 제어권을 가지면 이는 무용지물이 됩니다. 대응책으로 도입된 XMLDSig(XML 전자서명)와 인스톨러 서명 교차 검증은, 전송 채널(서버)을 신뢰할 수 없는 상황에서도 데이터의 무결성을 보장하려는 ‘Zero Trust’ 보안 모델의 실질적인 적용 사례로 볼 수 있습니다.
시사점
이번 사태는 공유 호스팅을 사용하는 중소규모 소프트웨어 벤더나 오픈소스 프로젝트에 큰 경종을 울립니다. 인프라 보안을 클라우드 제공자에게만 전적으로 의존해서는 안 되며, 배포 파이프라인 자체의 보안을 강화해야 합니다. 실무적으로는 소프트웨어 업데이트 메커니즘 설계 시, TUF(The Update Framework)와 같은 검증된 프레임워크를 도입하거나, 서버가 탈취당한 최악의 시나리오에서도 클라이언트가 악성 파일을 거부할 수 있는 클라이언트 측 검증 로직을 필수적으로 구현해야 함을 시사합니다.
인프라가 장악당해도 당신의 애플리케이션은 사용자를 보호할 수 있습니까? Notepad++의 사례는 ‘서버는 언제든 뚫릴 수 있다’는 가정하에 보안 아키텍처를 설계해야 함을 다시 한번 상기시켜 줍니다. 앞으로 v8.9.2부터 적용될 강제 서명 검증이 얼마나 효과적으로 작동할지 지켜봐야 할 것입니다.