메모장++ 6개월간 해킹당해, 중국 해커가 선별적 백도어 배포

전 세계 개발자들이 사랑하는 텍스트 에디터 메모장++(Notepad++)가 6개월간 중국 정부 배후 해커들에게 해킹당했다는 충격적인 사실이 공개됐다.

메모장++ 개발팀은 2월 3일(현지시간) 공식 홈페이지를 통해 "작년 6월부터 12월까지 업데이트 인프라가 완전히 장악당했다"며 "해커들이 특정 타깃을 선별해 악성코드가 심어진 업데이트를 배포했다"고 밝혔다.

정교한 선별적 공격

해커들의 공격 방식은 매우 정교했다. 일반 사용자들은 정상적인 업데이트를 받았지만, 특정 목표로 지정된 사용자들만 악성 서버로 리디렉션돼 크리살리스(Chrysalis)라 불리는 새로운 백도어를 받았다.

보안업체 래피드7(Rapid7)은 이 백도어를 "맞춤형 고급 백도어"라고 분석했다. "광범위한 기능을 보면 일회용 도구가 아닌 정교하고 영구적인 해킹 도구"라는 설명이다.

독립 보안 연구원 케빈 보몬트(Kevin Beaumont)에 따르면, 동아시아 관련 업무를 하는 3개 조직이 메모장++를 통한 보안 사고를 겪었으며, 해커들이 직접 시스템을 조작할 수 있는 "손으로 키보드를 치는" 수준까지 침투했다고 전했다.

오픈소스의 딜레마

이번 사건은 오픈소스 소프트웨어의 근본적 딜레마를 보여준다. 메모장++는 마이크로소프트가 공식 메모장에 코파일럿 AI를 통합하면서 더욱 인기를 끌고 있지만, 자금 부족으로 보안 취약점을 제때 발견하고 수정하기 어려운 상황이다.

해커들이 악용한 취약점은 업데이트 검증 시스템의 허점이었다. 이전 버전의 메모장++는 HTTPS 대신 HTTP로 업데이트 정보를 받았고, 자체 서명된 인증서를 사용해 다운로드 파일의 무결성 검증이 취약했다.

보몬트 연구원은 "ISP 수준에서 트래픽을 가로채 다른 다운로드 서버로 리디렉션하는 것이 가능했다"며 "이런 규모의 공격에는 상당한 자원이 필요하다"고 설명했다.

사용자 대응 방안

현재 메모장++ 팀은 모든 사용자에게 8.9.1 버전 이상으로 업데이트할 것을 권고하고 있다. 기업 사용자들은 보안을 위해 notepad-plus-plus.org에 대한 접근을 차단하거나 업데이트 프로세스인 gup.exe의 인터넷 접근을 막는 것도 고려해볼 만하다.

특히 주의해야 할 점은 검색엔진에서 "메모장++"를 검색하면 광고로 위장한 악성 버전들이 상위에 노출된다는 것이다. 반드시 공식 사이트에서만 다운로드해야 한다.