메모장 앱 해킹, 6개월간 몰랐다면 당신의 PC는 안전할까

전 세계 수백만 명이 사용하는 텍스트 에디터 Notepad++가 6개월간 중국 정부 지원 해커들에게 장악당했다. 그런데 더 무서운 건 이들이 모든 사용자를 공격한 게 아니라 '특정 타겟'만 골라서 악성코드를 심었다는 점이다.

은밀했던 6개월의 침입

Notepad++ 개발진이 월요일 공식 발표한 내용에 따르면, 작년 6월부터 해커들이 업데이트 인프라를 완전히 장악했다. 이들은 업데이트 트래픽을 가로채고 리디렉션하는 '인프라 레벨' 공격을 감행했다.

가장 교묘한 부분은 선별적 공격이었다. 해커들은 모든 사용자에게 악성코드를 배포하지 않고, 특정 타겟으로 보이는 사용자들만 골라서 가짜 업데이트 서버로 연결했다. 나머지 사용자들은 정상적인 업데이트를 받았기 때문에 문제를 눈치채기 어려웠다.

더 놀라운 건 해킹의 지속성이다. Notepad++가 9월 2일 인프라를 복구했다고 생각했지만, 해커들은 12월 2일까지 내부 서비스 접근 권한을 유지하며 계속해서 선별적 공격을 이어갔다.

개인 PC 보안의 새로운 취약점

이번 사건이 충격적인 이유는 '신뢰할 수 있는' 소프트웨어의 정식 업데이트 채널이 뚫렸다는 점이다. 사용자 입장에서는 의심할 여지가 전혀 없었다. 평소처럼 업데이트 알림이 뜨고, 클릭하고, 설치했을 뿐인데 악성코드가 함께 들어온 것이다.

국내에서도 Notepad++를 사용하는 개발자와 IT 전문가들이 적지 않다. 특히 한국의 소프트웨어 개발 환경에서 널리 사용되는 도구 중 하나다. 만약 국내 사용자 중에도 타겟이 포함되어 있었다면, 기업 내부 정보나 개인 데이터가 유출되었을 가능성을 배제할 수 없다.

해커들이 '구버전의 불충분한 업데이트 검증 시스템'을 노렸다는 점도 시사하는 바가 크다. 많은 사용자들이 보안상의 이유로 최신 버전 업데이트를 미루거나 건너뛰는 경우가 있는데, 이런 습관이 오히려 더 큰 위험을 초래할 수 있음을 보여준다.

공급망 공격의 진화

이번 Notepad++ 해킹은 '공급망 공격(Supply Chain Attack)'의 새로운 형태를 보여준다. 기존의 공급망 공격이 소프트웨어 개발 단계에서 악성코드를 심는 방식이었다면, 이번에는 완성된 소프트웨어의 업데이트 배포 과정을 장악했다.

더욱 정교해진 건 타겟팅 방식이다. 무차별적으로 공격하면 금세 발각될 수 있지만, 특정 대상만 골라서 공격하면 훨씬 오랫동안 숨어있을 수 있다. 실제로 이번 공격도 6개월이나 지속되었다.

중국 정부 지원 해커 그룹의 소행으로 추정된다는 점도 주목할 만하다. 국가 차원의 사이버 공격이 개인이 일상적으로 사용하는 소프트웨어까지 침투했다는 의미다. 이는 사이버 공간에서 국가 간 갈등이 개인 사용자 레벨까지 확산되고 있음을 시사한다.