6개월간 몰래 감염된 노트패드++, 중국 해커의 표적 공격

전 세계 개발자들이 매일 사용하는 노트패드++에서 6개월간 악성코드가 몰래 배포됐다. 더 충격적인 것은 이것이 무작위 공격이 아니라 특정 사용자만을 겨냥한 정교한 표적 공격이었다는 사실이다.

6개월간 지속된 은밀한 침투

노트패드++ 개발자 돈 호(Don Ho)는 월요일 공식 발표를 통해 2025년 6월부터 12월 2일까지 약 6개월간 앱의 공유 호스팅 서버가 해킹당했다고 밝혔다. 공격자들은 "중국 국가 지원 그룹으로 추정된다"며, 이들이 특정 사용자들의 트래픽만을 선별적으로 공격자가 제어하는 서버로 리디렉션했다고 설명했다.

문제는 이 공격의 정교함에 있다. 모든 사용자가 감염된 것이 아니라 특정 타겟만을 골라 악성 업데이트를 제공했다는 점이다. 일반적인 바이러스 유포와는 차원이 다른 APT(지속적 표적 공격)의 전형적인 수법이었다.

개발툴이 무기가 되는 시대

노트패드++는 단순한 텍스트 에디터가 아니다. 전 세계 수백만 명의 개발자, 시스템 관리자, 보안 전문가들이 일상적으로 사용하는 핵심 도구다. 이런 필수 개발툴이 해킹당했다는 것은 마치 건설 현장의 망치에 폭탄이 숨겨진 것과 같다.

특히 이번 공격이 중국 국가 지원 그룹의 소행으로 추정된다는 점은 사이버전의 새로운 양상을 보여준다. 과거에는 주로 대기업이나 정부 기관을 직접 타겟으로 했다면, 이제는 개발자들이 매일 사용하는 도구 자체를 감염시켜 더 넓은 범위의 침투를 노리고 있는 것이다.

공급망 공격의 진화

이번 사건은 소프트웨어 공급망 공격이 얼마나 정교해졌는지를 보여준다. 해커들은 노트패드++의 호스팅 업체를 먼저 장악한 후, 선별적으로 특정 사용자들에게만 악성 업데이트를 배포했다. 이는 대규모 감염으로 인한 조기 발각을 피하면서도 핵심 타겟에게는 확실히 침투하는 전략이다.

국내 개발 환경에서도 이런 위험은 현실적이다. 한국의 많은 개발자들이 노트패드++를 포함해 다양한 해외 개발툴을 사용하고 있기 때문이다. 만약 삼성전자나 네이버의 개발자가 감염된 도구를 사용했다면 어떤 일이 벌어졌을까?