2025년 Notepad++ 공급망 공격: 중국 연계 해킹 그룹의 표적
2025년, 전 세계 개발자들에게 널리 사용되는 오픈 소스 텍스트 편집기인 **Notepad++**가 정교한 공급망 공격의 표적이 되었습니다. 개발자 Don Ho와 주요 외신들의 보도에 따르면, 악의적인 행위자들은 수개월 동안 소프트웨어의 공식 업데이트 프로세스를 탈취하여 사용자들에게 악성 코드를 유포하려 시도했습니다. 이 공격은 2025년 6월부터 시작되었으며, 공격자들은 공식 업데이트 채널을 장악해 사용자 트래픽을 가로채는 방식을 사용했습니다[1]. 이번 사태는 단순한 서비스 중단이 아니라, 신뢰받는 개발 도구의 배포 경로 자체가 오염되었다는 점에서 보안 커뮤니티에 큰 경각심을 불러일으켰습니다.
핵심 요약
- 공격 기간 및 대상: 2025년 6월부터 12월까지 지속되었으며, 모든 사용자가 아닌 특정 타겟 사용자(certain targeted users)를 선별적으로 노린 공격이었습니다[1].
- 공격 방식: 업데이트 프로그램(WinGUp)의 트래픽을 악성 도메인으로 리디렉션하는 방식으로, 호스팅 인프라 침해를 통해 이루어졌습니다[2].
- 배후 세력: 중국과 연계된 사이버 스파이 그룹인 ‘Lotus Blossom’ 또는 ‘Violet Typhoon’(APT31)이 유력한 용의자로 지목되고 있습니다[1][2].
- 대응 조치: 개발팀은 트래픽 리디렉션 문제를 해결한 v8.8.9 버전을 릴리스하고, 보안이 강화된 새로운 호스팅 제공업체로 인프라를 이전했습니다[2].
공격의 전모와 기술적 메커니즘
이번 침해 사고의 기술적 원인에 대해서는 인프라 침해와 소프트웨어 버그 악용이라는 두 가지 관점이 존재합니다. The Hacker News는 이번 공격이 Notepad++ 코드 자체의 취약점이 아니라, 호스팅 제공업체 수준의 인프라가 침해당해 업데이트 프로그램(WinGUp)의 트래픽이 악성 도메인으로 리디렉션된 것이라고 분석했습니다[2].
반면 TechCrunch는 해커들이 ‘소프트웨어 버그’를 악용했다고 보도하며 미묘한 시각차를 보였으나, 결과적으로 사용자가 의도치 않게 악성 서버로 연결되었다는 점은 일치합니다[3]. 공격자들은 이를 통해 정상적인 업데이트 파일 대신 조작된 파일을 사용자에게 전달할 수 있는 환경을 구축했습니다. 즉, 이미 설치되어 있던 프로그램 자체가 악성코드로 변한 것이 아니라, 업데이트를 시도하는 네트워크 경로가 일시적으로 장악된 사건입니다.
선별적 타겟팅과 배후 세력
주목할 만한 점은 이번 공격이 모든 사용자를 대상으로 한 무차별적인 배포가 아니었다는 사실입니다. Notepad++ 개발자 Don Ho는 조사를 통해 이번 공격이 “매우 선택적(highly selective)“이었으며, 침해 기간 동안 업데이트를 시도한 모든 사용자가 악성 파일을 내려받은 것은 아니라고 밝혔습니다[1]. 공격자들은 ‘특정 타겟 사용자’를 선별하여 공격을 감행했으며, 이에 따라 일반 사용자 대다수는 영향을 받지 않았을 가능성이 높습니다.
보안 전문가들은 이번 공격의 배후에 중국과 연계된 사이버 스파이 그룹이 있는 것으로 추정하고 있습니다. Rapid7은 이를 ‘Lotus Blossom’의 소행으로 분석한 반면, 다른 출처에서는 ‘Violet Typhoon’(일명 APT31)을 지목하는 등 구체적인 그룹 식별에는 다소 차이가 있습니다[1][2]. 그러나 두 분석 모두 국가적 이해관계와 관련된 표적 공격을 주로 수행하는 그룹을 지목하고 있어, 이번 사건이 고도화된 스파이 활동의 일환일 가능성을 시사합니다.
타임라인과 대응 조치
공격의 타임라인을 살펴보면, 위협 행위자들은 2025년 6월부터 업데이트 프로세스를 표적으로 삼기 시작했습니다. 이들은 2025년 9월 2일까지 업데이트 호스팅 서버에 대한 접근 권한을 유지했으며, 일부 자격 증명은 12월 2일이 되어서야 완전히 차단되었습니다[1]. 이 보안 침해 사실은 보안 연구원 Kevin Beaumont에 의해 2025년 12월 처음 발견되었으며, 이후 개발팀은 신속한 대응에 나섰습니다[3].
사태 수습을 위해 Notepad++ 개발팀은 2025년 12월, 트래픽 리디렉션 문제를 해결한 v8.8.9 버전을 릴리스했습니다. 또한, 재발 방지를 위해 웹사이트와 인프라를 더 강력한 보안 관행을 갖춘 새로운 호스팅 제공업체로 이전하는 조치를 단행했습니다[2]. TechCrunch는 사용자들이 버그 수정이 포함된 최신 버전을 다운로드할 것을 강력히 권장하고 있습니다[3].
에디터 보안 비교
이번 사건으로 인해 일부 사용자들은 보안 관리가 엄격한 대안 소프트웨어를 검토하고 있습니다.
| 옵션 | 적합한 대상 | 장점 | 단점 | 비고 |
|---|---|---|---|---|
| Notepad++ | 일반 개발자, 경량 에디터 사용자 | 가벼운 구동, 무료, 신속한 패치 대응[2] | 최근 공급망 공격 이력, 인프라 보안 우려[1] | 호스팅 이전으로 보안 강화됨 |
| VS Code | 기업 및 전문 개발자 | 대기업(MS)의 보안 관리, 풍부한 기능 | 상대적으로 무거운 리소스 점유율(추정) | 기업 보안 표준에 부합하는 대안으로 거론됨 |
| Sublime Text | 속도 중시 사용자 | 빠른 성능, 안정성 | 상용 소프트웨어(유료 라이선스 필요) | 보안 사고 위험이 상대적으로 낮게 인식됨 |
장단점 분석
Notepad++의 현재 보안 상태 장점
- 신속한 대응: 보안 연구원의 발견 직후 패치(v8.8.9)를 배포하고 인프라를 교체하는 등 적극적인 조치를 취했습니다[2].
- 투명성: 개발자 Don Ho가 공격 사실과 타겟팅의 선별적 성격을 공개적으로 인정하고 정보를 공유했습니다[1].
- 인프라 강화: 기존 호스팅 업체를 버리고 더 강력한 보안 관행을 갖춘 업체로 이전하여 근본적인 재발 방지책을 마련했습니다[2].
Notepad++ 사용 시 고려해야 할 위험 요소
- 공급망 취약성: 오픈소스 프로젝트의 인프라가 국가 지원 해커들의 표적이 될 수 있음을 보여주었으며, 9월 이후에도 일부 자격 증명이 유효했다는 점은 보안 관리의 허점을 드러냈습니다[1].
- 원인 분석의 복잡성: 인프라 침해와 소프트웨어 버그 악용이라는 두 가지 분석이 혼재되어 있어, 사용자 입장에서 완벽한 원인 파악에 혼란을 줄 수 있습니다[2][3].
FAQ
Q: 지금 Notepad++를 최신 버전으로 업데이트해도 안전한가요? A: 네, 안전합니다. 개발팀은 트래픽 리디렉션 문제를 해결하기 위해 v8.8.9 버전을 릴리스했으며, 호스팅 인프라를 보안이 강화된 곳으로 이전했습니다. 현재는 공식 웹사이트를 통해 최신 버전을 다운로드하여 사용하는 것이 권장됩니다[2][3].
Q: 이번 공격으로 인한 악성코드 감염 여부는 어떻게 확인하나요? A: 이번 공격은 ‘매우 선별적’으로 이루어졌기 때문에 일반 사용자가 감염되었을 확률은 낮습니다. 그러나 2025년 6월부터 12월 사이에 업데이트를 진행했다면, 만약을 위해 기존 버전을 삭제하고 v8.8.9 이상의 최신 버전을 재설치하는 것이 가장 확실한 확인 및 조치 방법입니다[1].
Q: Notepad++를 대체할 가장 안전한 무료 코드 에디터는 무엇인가요? A: 이번 사태 이후 많은 사용자가 Microsoft가 관리하여 보안 관행이 엄격한 VS Code나, 상용 소프트웨어인 Sublime Text 등을 대안으로 검토하고 있습니다. 다만, Notepad++ 역시 인프라 보안을 대폭 강화했으므로 사용자의 필요에 따라 선택할 수 있습니다.
결론
이번 Notepad++ 공급망 공격 사태는 오픈소스 도구가 가진 광범위한 영향력이 역설적으로 공격자들의 매력적인 침투 경로가 될 수 있음을 시사합니다. 개발팀은 인프라 이전과 소프트웨어 패치를 통해 문제를 해결했지만, 공격의 배후로 지목된 ‘Lotus Blossom’ 또는 ‘Violet Typhoon’과 같은 그룹의 구체적인 표적 선정 기준은 여전히 불확실한 영역으로 남아 있습니다[1]. 사용자는 자동 업데이트의 편리함 이면에 존재할 수 있는 위험을 인지하고, 소프트웨어의 배포 경로와 무결성을 주기적으로 확인하는 보안 습관을 유지해야 합니다.