Notepad++ 공급망 공격 분석: 4개월간 아무도 몰랐던 은밀한 침투

💡 한줄 요약: Notepad++ 업데이트 서버가 해킹당해 4개월간 악성코드를 배포, 공격자는 3가지 다른 감염 체인을 사용하여 탐지를 회피했습니다.

배경

개발자들의 필수 도구인 Notepad++가 해커들의 표적이 되었습니다. 2026년 2월 2일, Notepad++ 개발팀은 업데이트 인프라가 침해당했다는 충격적인 사실을 공개했습니다. 공격자들은 2025년 6월부터 12월까지 무려 반년 가까이 서버에 잠입해 있었으며, 7월부터 10월까지 4개월 동안 사용자들에게 악성 업데이트를 배포했습니다. 단순한 서비스 마비가 아니라, 사용자의 PC를 장악하고 정보를 빼돌리는 지능적인 공급망 공격(Supply Chain Attack)이었습니다.

📌 핵심 내용

• 교묘한 위장술: 공격자는 합법적인 디지털 서명이 된 ProShow라는 오래된 소프트웨어의 취약점을 악용(DLL 사이드로딩)하여 백신 탐지를 우회했습니다.
• 다변화된 공격 체인: 4개월 동안 3가지 서로 다른 감염 방식(Chain)을 번갈아 사용하며 보안 분석가들의 추적을 피했습니다.
• 정보 유출 경로: 감염된 PC의 시스템 정보(프로세스 목록, 네트워크 연결 등)를 수집하여 temp.sh 같은 임시 파일 호스팅 서비스로 은밀하게 빼돌렸습니다.
• 배후: 공격 방식(DLL 사이드로딩 암호화 등)이 중국어권 위협 그룹인 Lotus Blossom의 기술과 유사하다는 분석이 있습니다.

MAX5의 생각 🎯

📚 핵심 교훈

오픈소스 소프트웨어 자체는 안전하더라도, 배포 및 업데이트 경로가 취약하면 언제든 공격 통로가 될 수 있습니다. "신뢰할 수 있는 도구"라는 믿음이 가장 큰 보안 구멍이 될 수 있음을 보여줍니다. 특히, 오래된 소프트웨어(ProShow)를 악용하는 'Living off the Land' 전술은 여전히 유효합니다.

🔄 내 상황에 적용한다면

• 자동 업데이트 점검: 사내에서 사용하는 개발 도구의 자동 업데이트를 무조건 신뢰하지 마세요. 가능하다면 중앙에서 검증된 버전만 배포하는 정책을 수립하세요.
• 해시값 검증: 소프트웨어 설치 시, 공식 사이트에서 제공하는 SHA-256 해시값과 다운로드한 파일의 해시값이 일치하는지 반드시 확인하는 습관을 들이세요.
• 네트워크 모니터링: temp.sh, curl 등을 이용한 비정상적인 아웃바운드 트래픽을 모니터링하여 내부 정보 유출을 조기에 탐지해야 합니다.

⚠️ 주의할 점

이번 사건은 Notepad++ 소스코드 자체가 오염된 것이 아니라, 업데이트 서버가 탈취된 것입니다. Notepad++ 사용을 중단할 필요는 없지만, 감염 기간(2025년 7월~10월)에 업데이트를 진행했다면 반드시 악성코드 검사를 수행해야 합니다.