Notepad++ 업데이트 프로그램 해킹 사건: 발생 원인 및 사용자 조치 사항

널리 사용되는 윈도우 텍스트 편집기인 Notepad++는 업데이트 인프라가 수개월 동안 손상되어 공격자들이 일부 사용자를 악성 업데이트로 유도할 수 있었다고 경고했습니다. Ars Technica에 따르면 이 손상은 2025년 6월에 시작되었으며, 제어권이 완전히 복구된 것은 12월이었습니다.

이는 전형적인 공급망 공격 패턴입니다. 공격자는 각 피해자를 직접 공격하는 대신 업데이트 경로를 표적으로 삼아 소프트웨어 자체를 전달 수단으로 활용합니다.

공격의 모습은 어떠했을까?

Ars에 따르면 공격자들은 "인프라 수준"의 제어권을 확보하여 Notepad++ 도메인으로 향하는 업데이트 트래픽을 가로채고 리디렉션할 수 있었습니다. 모든 사용자를 대상으로 하는 대신, 특정 대상을 겨냥하여 선택적으로 리디렉션을 수행했습니다.

그러한 선택성은 중요한 단서입니다. 이는 공격자들이 특정 피해자 집단을 대상으로 공격했거나 감염량을 낮게 유지함으로써 탐지를 피하려 했음을 시사합니다.

업데이트 프로그램이 왜 그토록 가치 있는 공격 대상일까요?

자동 업데이트 메커니즘은 다음과 같은 세 가지 위험한 일을 하도록 설계되었습니다.

• 인터넷에서 코드를 가져옵니다.
• 디스크에 저장하세요
• 실행하세요

그게 바로 악성 소프트웨어가 원하는 겁니다. "업데이트"와 "감염" 사이에 있는 유일한 장벽은 검증뿐입니다.

업데이트 프로그램인 경우:

• 강력한 TLS를 일관되게 사용하지 않습니다.
• 서명을 제대로 검증하지 않습니다.
• 변조 가능한 매니페스트 파일을 신뢰합니다.

…그러면 트래픽을 가로채거나 방향을 바꾸는 것만으로도 페이로드를 교체할 수 있습니다.

Notepad++ 업데이트 프로그램의 구체적인 내용(및 약점)

Ars는 다음과 같은 기능을 하는 맞춤형 업데이트 프로그램(GUP/WinGUP)에 대해 설명합니다.

• Notepad++ URL에 버전을 보고합니다.
• XML 파일에서 업데이트 지침을 가져옵니다.
• 임시 디렉터리에 설치 프로그램을 다운로드하고 실행합니다.

많은 시스템의 약점은 "매니페스트" 단계입니다. 매니페스트를 교체하거나 변경할 수 있다면, 업데이트 프로그램은 임의의 다운로드 위치를 지정할 수 있습니다.

사용자는 어떤 버전을 사용해야 할까요?

Ars의 보고서에 따르면 개발자들은 사용자들에게 버전 8.9.1 이상을 실행하고 있는지 확인하도록 권고했습니다.

이런 상황에서 일반적으로 적용되는 원칙은 다음과 같습니다.

• 공식 사이트에서 수동으로 설치하는 것을 권장합니다.
• 타사 "다운로드 미러" 사이트와 광고로 가득 찬 검색 결과를 피하세요.
• 예기치 않은 시간에 나타나는 업데이트 알림은 의심스러운 것으로 간주하십시오.

노출 정도를 평가하는 방법

표적 캠페인의 경우 완벽한 침해 지표를 찾기는 어려울 수 있지만, 불확실성을 줄일 수는 있습니다.

1. 설치된 버전을 확인하세요그리고 현재 출시된 제품들과 비교해 보세요.
2. 설치 프로그램 서명을 확인하십시오.가지고 계신 Notepad++ 바이너리 파일에 대해서 말씀드리겠습니다.
3. 시스템 로그를 검토하세요업데이트 시점에 발생하는 비정상적인 프로세스 실행(알 수 없는 설치 프로그램 프로세스, 비정상적인 도메인에 대한 네트워크 호출 등)에 대한 정보입니다.
4. EDR/AV를 이용한 스캔사고 대응팀이 보고한 알려진 백도어를 탐지할 수 있습니다.

조직의 경우에도 다음과 같은 점이 합리적입니다.

• 업데이트 구성 요소가 인터넷에 접속하지 못하도록 제한합니다.
• 제어된 소프트웨어 배포 방식(MSI 패키징, 내부 저장소)을 사용하십시오.

이것이 오픈소스 의존성에 대해 시사하는 바는 무엇일까요?

Notepad++는 무료이며 사용량이 많지만, 그 중요성에 비해 자금 지원이 부족한 경우가 많습니다. 이러한 불균형은 취약한 인프라와 국가 차원의 위협 모델에 맞춰 설계되지 않은 맞춤형 업데이트 시스템으로 나타납니다.

더 근본적인 교훈은 "오픈소스를 사용하지 말라"는 것이 아닙니다. 널리 의존되는 오픈소스 프로젝트에는 다음과 같은 것들이 필요하다는 것입니다.

• 최신 업데이트 프레임워크
• 보안 검토
• 인프라 및 사고 대응을 위한 자금 지원

결론적으로

Notepad++를 사용하신다면, 2025년에는 업데이트 채널이 잠재적인 공격 대상이 될 수 있다고 가정하십시오. 최신 버전으로 업데이트하고, 공식/수동 설치를 선호하며, 업데이트 프로그램의 무결성(서명 및 매니페스트)을 진정한 보안 경계로 간주하십시오.

---

출처

• https://arstechnica.com/security/2026/02/notepad-updater-was-compromised-for-6-months-in-supply-chain-attack/
• https://notepad-plus-plus.org/news/hijacked-incident-info-update/