한국정보기술진흥원
한국정보기술신문
thumbnail

정보보안 ·

Notepad++ 국가 후원 해킹 그룹에 하이재킹 당해...중국 배후 의심

발행일
읽는 시간2분 15초

인기 텍스트 에디터 Notepad++가 2025년 6월부터 12월까지 국가 후원 해킹 그룹의 표적 공격을 받았다.

[한국정보기술신문] 전 세계적으로 수억 명의 사용자를 보유한 오픈소스 텍스트 에디터 Notepad++가 중국 국가 후원 해킹 그룹으로 추정되는 공격자들에 의해 장기간 하이재킹된 사실이 2월 2일 공식 발표됐다. 이번 공격은 호스팅 제공업체 인프라 단계에서 발생한 침해로, 사용자들의 업데이트 트래픽을 가로채 악성 파일을 배포한 것으로 드러났다.

Notepad++ 개발자 돈 호는 공식 웹사이트를 통해 외부 보안 전문가들과의 협력 조사 결과를 공개했다. 보안 전문가들의 분석에 따르면 공격자들은 인프라 수준의 침해를 통해 notepad-plus-plus.org로 향하는 업데이트 트래픽을 가로채고 리디렉션할 수 있었다. 정확한 기술적 메커니즘은 여전히 조사 중이지만, 침해는 Notepad++ 코드 자체의 취약점이 아닌 호스팅 제공업체 수준에서 발생했다.

6개월간 지속된 표적 공격

사건은 2025년 6월부터 시작됐다. 여러 독립 보안 연구자들은 공격 주체가 중국 국가 후원 그룹일 가능성이 높다고 평가했으며, 이는 캠페인 기간 동안 관찰된 고도로 선택적인 타게팅으로 설명될 수 있다고 밝혔다. 공격자들은 특정 타겟 사용자들의 트래픽만을 선별적으로 공격자가 제어하는 서버로 리디렉션해 악성 업데이트 매니페스트를 제공했다.

구 호스팅 제공업체의 상세 성명에 따르면, 공유 호스팅 서버는 2025년 9월 2일까지 침해됐다. 해당 날짜에 서버는 커널과 펌웨어 업데이트를 포함한 정기 유지보수를 진행했으며, 이후 로그에서 유사한 패턴이 발견되지 않아 공격자들이 서버 접근 권한을 잃은 것으로 확인됐다.

12월까지 내부 서비스 자격증명 유지

그러나 공격자들은 9월 2일 이후 서버 접근 권한을 잃었음에도 불구하고 12월 2일까지 해당 서버에 존재하는 내부 서비스의 자격증명을 유지했다. 이를 통해 공격자들은 notepad-plus-plus.org/getDownloadUrl.php로 향하는 일부 트래픽을 자신들의 서버로 계속 리디렉션하고 침해된 업데이트 다운로드 URL을 반환할 수 있었다.

호스팅 제공업체는 로그 분석 결과 해당 서버에 호스팅된 다른 고객들은 표적이 되지 않았다고 밝혔다. 공격자들은 구체적으로 notepad-plus-plus.org 도메인을 검색했으며, 당시 존재했던 Notepad++의 불충분한 업데이트 검증 제어와 관련된 취약점을 악용할 목적으로 웹사이트 트래픽을 가로채는 것을 목표로 했다.

전면적 보안 강화 조치 완료

호스팅 제공업체는 12월 2일을 기점으로 모든 보안 취약점을 수정하고 공격자들이 획득했을 수 있는 모든 자격증명을 교체했다. 제공업체 측은 수정 구현 후 공격자가 취약점 재악용을 시도했으나 실패한 것으로 로그에 기록됐다고 밝혔다. 또한 모든 웹 호스팅 서버에서 유사한 패턴을 검사했으나 유사한 방식으로 시스템이 침해되거나 악용되거나 데이터가 유출된 증거를 발견하지 못했다.

보안 전문가의 분석에서는 공격이 2025년 11월 10일에 중단된 것으로 나타난 반면, 호스팅 제공업체의 성명에서는 12월 2일까지 잠재적 공격자 접근이 가능했다고 밝혔다. 두 평가를 종합한 결과, 전체 침해 기간은 2025년 6월부터 12월까지로 추정되며, 12월 2일 모든 공격자 접근이 완전히 차단됐다.

업데이터 보안 기능 대폭 강화

돈 호 개발자는 이번 하이재킹으로 피해를 입은 모든 사용자에게 깊은 사과를 표했다. 이 심각한 보안 문제를 해결하기 위해 Notepad++ 웹사이트는 훨씬 더 강력한 보안 관행을 갖춘 새로운 호스팅 제공업체로 마이그레이션됐다.

Notepad++ 자체적으로도 v8.8.9에서 업데이터인 WinGup이 강화돼 다운로드된 설치 파일의 인증서와 서명을 모두 검증하도록 개선됐다. 또한 업데이트 서버가 반환하는 XML이 이제 서명되며(XMLDSig), 약 한 달 후 출시 예정인 v8.9.2부터는 인증서 및 서명 검증이 강제로 적용될 예정이다.

돈 호 개발자는 이러한 변경과 강화 조치를 통해 상황이 완전히 해결됐다고 믿는다고 밝혔다.

한국정보기술신문 정보보안분과 안서진 기자 news@kitpa.org