Notepad++ 업데이트 하이재킹: 6개월간의 해킹 사건을 통해 업데이트 프로그램 신뢰도에 대해 무엇을 배울 수 있을까

Notepad++는 2025년 몇 달 동안 업데이트 트래픽이 해킹당했으며, 공격자들이 이를 가로채 일부 사용자를 악성 인프라로 리디렉션했다고 밝혔습니다. BleepingComputer에 따르면, 이 해킹은 2025년 6월에 시작되어 호스팅 제공업체가 침해를 감지하고 접근을 차단한 12월 2일에 종료되었습니다.

이번 사건은 "HTTPS를 통한 다운로드"가 완벽한 보안을 보장하지 않는다는 점을 다시 한번 상기시켜 줍니다. 업데이트 시스템은 강력한 엔드투엔드 검증이 필요합니다. 왜냐하면 우리가 신뢰하는 인프라가 바로 해킹의 대상이 될 수 있기 때문입니다.

공격자들이 악용한 것

BleepingComputer는 이전 버전의 Notepad++에서 업데이트 검증 제어 기능에 허점이 있어 공격자가 변조된 업데이트 매니페스트를 배포하고 다운로드를 리디렉션할 수 있다고 설명합니다.

보도에 따르면 해당 캠페인은 범위가 좁고 선별적이었으며, 이는 대규모 배포보다는 특정 목표물에 접근하는 데 더 중점을 두는 행위자의 성향과 일치한다.

시간 순서가 중요합니다.

• 2025년 6월 최초 타협안
• 커널/펌웨어 업데이트 이후 9월 초에 일시적인 서비스 중단이 발생했습니다.
• 도난당한 내부 자격 증명을 통한 지속적인 접근이 12월 2일까지 가능합니다.

"인증서가 복구 조치 후에도 남아있었다"는 것은 전형적인 사고 대응 실패 사례입니다. 공격자가 이미 키를 확보한 경우 서버 패치만으로는 충분하지 않습니다.

해당 사건 이후 Notepad++에서 변경된 사항

BleepingComputer에 따르면 Notepad++는 클라이언트를 새로운 호스팅 제공업체로 이전하고, 자격 증명을 변경하고, 인증 기능을 개선했습니다.

WinGUP은 버전 8.8.9부터 다음과 같은 기능을 제공합니다.

• 설치 프로그램 인증서 및 서명을 확인합니다.
• 암호화 방식으로 서명된 업데이트 XML을 사용합니다.

또한 이 프로젝트는 버전 8.9.2에서 인증서 서명 확인을 의무화할 계획입니다.

선택적 검사 → 강화된 검사 → 필수 검사로 이어지는 이러한 과정이야말로 소프트웨어 배포 보안이 시간이 지남에 따라 강화되어야 하는 정확한 방식입니다.

악성코드 관련 관점: Chrysalis 및 어원 분석

BleepingComputer는 Rapid7의 연구를 인용하여 관련 캠페인이 Lotus Blossom(다른 별칭으로도 알려짐)이라는 중국 APT 그룹과 Rapid7이 만든 "Chrysalis"라는 맞춤형 백도어에 의해 자행되었다고 밝혔습니다.

공급망을 겨냥한 공격에서 악성코드는 종종 맞춤형으로 제작됩니다. 따라서 핵심 방어책은 "이 특정 악성코드를 탐지하는 것"이 ​​아니라 "업데이트 프로그램을 통해 승인되지 않은 악성코드가 유포되는 것을 어렵게 만드는 것"입니다.

조직들이 다르게 해야 할 점은 무엇일까요?

기업 환경에서 소프트웨어를 관리하는 경우, 이 사건은 몇 가지 보안 허점을 지적합니다.

1. 소비자용 자동 업데이트 프로그램을 사용하지 마세요.가능한 경우 중요 시스템에서 사용하세요.
2. 관리형 소프트웨어 배포를 사용하세요(내부 저장소, Intune/SCCM 등에 있는 서명된 패키지).
3. 서명을 고정하고 확인하세요.설치 프로그램 및 업데이트용입니다.
4. "업데이트 경로"를 모니터링하세요.핵심 인프라로서 DNS, TLS 검사 정책, 프록시 동작 및 엔드포인트 실행 체인 등이 포함됩니다.

개인 사용자라면 실질적인 단계는 더 간단합니다.

• Notepad++ 공식 사이트에서 최신 버전으로 업데이트하세요.
• 일반 설치 프로그램처럼 보이지 않는 업데이트 알림은 의심해 봐야 합니다.
• 공식 페이지를 모방한 "지금 다운로드" 광고가 검색 결과에 나타나지 않도록 주의하세요.

결론적으로

Notepad++의 6개월간의 업데이트 해킹 사태는 단 하나의 버그 때문이 아니라 신뢰 경계에 관한 문제였습니다. 공격자가 매니페스트를 변경하거나 서명 검사가 취약한 경우, "업데이트"는 사실상 원격 코드 실행으로 이어질 수 있습니다. 해결책은 호스팅 제공업체가 공격받더라도 우회할 수 없는 엔드 투 엔드 검증입니다.

---

출처

• https://www.bleepingcomputer.com/news/security/notepad-plus-plus-update-feature-hijacked-by-chinese-state-hackers-for-months/
• https://notepad-plus-plus.org/news/hijacked-incident-info-update/
• https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/