프랑스 거주 개발자 도운 호(Don Ho)와 보안 연구원들은 월요일에 공개적으로 밝힌 바에 따르면, 인기 오픈소스 코드 편집기인 Notepad++의 업데이트 과정이 중국 연계 사이버첩보 그룹에 의해 악용돼 특정 사용자를 대상으로 맞춤형 백도어 및 추가 악성코드가 배포됐다고 밝혔다.
2026년 2월 2일, 로이터의 보도에 따르면, 이번 공격은 2025년 6월부터 시작돼 2025년 9월 2일까지 Notepad++ 업데이트 제공에 사용된 호스팅 서버에 대한 접근을 확보했고, 일부 호스팅 서비스의 자격증명은 2025년 12월 2일까지 유지됐다고 개발자 도운 호가 밝혔다. 도 호는 해당 사실을 Notepad++ 프로젝트 웹사이트에 게시한 블로그와 이메일에서 전했다.
도운 호는 악성 행위자가 특정 대상 사용자들의 업데이트 과정만을 표적화했다고 설명했다. 그는 이메일에서 “조사 결과 이번 공격은 매우 선별적이었다 — 침해 기간 동안 모든 사용자가 악성 업데이트를 받지 않았으며, 이는 대규모 배포가 아니라 의도적인 표적화였음을 의미한다”라고 밝혔다.
사건 전개와 기술적 분석
Notepad++의 업데이트를 제공하는 도메인과 서버는 인터넷 등록 기록에 따르면 리투아니아의 호스팅업체 Hostinger가 1월 21일까지 호스팅을 담당했다는 사실이 확인됐으며, 도운 호는 이메일을 통해 이 점을 확인했다. Hostinger의 대변인은 로이터에 보낸 이메일에서 “나쁜 행위자가 공급망 공격을 수행해 업데이트 파일의 URL로 향하는 트래픽을 리디렉션했다”라고 밝혔다. Hostinger는 Notepad++와 협력해 사건 관련 정보를 공유하고 있으며, 회사 웹사이트에도 가능한 범위 내의 정보를 게시했다고 말했다.
보안업체 Rapid7은 월요일 게시한 블로그에서 이 해킹 캠페인을 Lotus Blossom으로 추적되는 중국 연계 사이버첩보 조직에 기인한 것으로 분석했다. Rapid7은 Lotus Blossom이 2009년부터 활동해 왔으며 전통적으로 동남아시아의 정부, 통신, 항공, 중요 인프라 및 언론 부문을 표적화했으며, 최근에는 중미 지역까지 활동 범위를 넓혔다고 평가했다.
분석에 따르면, 공격에 사용된 접근 권한을 통해 공격자는 감염된 컴퓨터에 대해 상호작용식 제어를 가능케 하는 맞춤형 백도어를 전달했다. 이 백도어는 공격자가 해당 시스템을 발판 삼아 데이터 탈취 및 다른 컴퓨터를 추가 표적화하는 데 사용될 수 있다.
미국 정부와 관련 기관의 반응
미국 사이버보안·인프라 보안국(Cybersecurity and Infrastructure Security Agency, CISA)의 대변인은 해당 기관이 “보고된 침해 사실을 인지하고 있으며 미국 정부(USG) 전반에 걸친 노출 가능성을 조사하고 있다”고 말했다. 이는 연방 기관 및 첨단 기술을 활용하는 공공 부문에서의 잠재적 노출을 포괄적으로 검토하고 있음을 의미한다.
중국 주미 대사관 대변인은 “중국은 법에 따라 모든 형태의 해킹을 반대하고 단호히 대응한다. 우리는 사이버 공격을 조장·지원하거나 묵인하지 않으며, 관련 당사자들이 사실적 증거 제시 없이 중국 정부가 후원한 해킹 행위라고 무책임하게 주장하는 것을 거부한다”라고 반박했다.
추가 보고와 사례
사이버 보안 연구자 케빈 보몬트(Kevin Beaumont)는 2025년 12월 2일 게시한 블로그에서 동아시아와 관련된 이해관계를 가진 것으로 보이는 세 개 조직이 Notepad++와 연계된 보안 사고와 잠재적으로 연관돼 있다고 인지하고 있다고 밝혔다. 도운 호는 자신이 보유한 정보로는 얼마나 많은 사용자가 악성 업데이트를 다운로드했는지에 대한 가시성이 없다고 덧붙였다.
용어 설명 — 일반 독자를 위한 배경
Notepad++는 개발자와 프로그래머들이 소스코드 편집, 스크립트 작성, 텍스트 편집 등에 널리 사용하는 무료 오픈소스 Windows 기반 코드 편집기이다. 오픈소스 소프트웨어는 소스 코드가 공개돼 누구나 검토·수정할 수 있는 소프트웨어 모델을 의미한다.
공급망 공격(supply-chain attack)은 소프트웨어가 배포되는 과정의 신뢰할 수 있는 구성요소(예: 개발자 계정, 업데이트 서버, 배포 인프라 등)를 침해해 최종 사용자에게 악성 소프트웨어를 전달하는 공격 형태다. 이러한 공격은 표적화가 용이하고 공격자가 중간 경로를 통제함으로써 광범위한 피해를 일으킬 수 있다.
백도어(backdoor)는 공격자가 원격으로 시스템에 접속하거나 명령을 실행할 수 있게 해 주는 악성 코드의 한 형태로, 정상적인 인증 절차를 우회할 수 있도록 설계된 경우가 많다.
영향과 시사점 — 기술·비즈니스적 관점에서의 평가
이번 사건은 오픈소스 소프트웨어와 그 배포 인프라에 대한 신뢰성 문제를 다시 불러일으킨다. Notepad++는 개발자 커뮤니티에서 광범위하게 사용되는 도구이므로, 업데이트 경로의 침해는 기업용 시스템, 연구기관, 정부 기관 등 다양한 조직에 보안상 위험을 초래할 수 있다. 특히 표적화된 공급망 공격의 특성상 피해 규모가 제한적으로 보일 수 있지만, 표적화된 조직이나 부서에 미치는 영향은 매우 클 수 있다.
경제적 측면에서는 다음과 같은 영향을 예상할 수 있다. 첫째, 기관과 기업은 소프트웨어 공급망의 보안을 강화하기 위해 보다 엄격한 내부 통제와 감사 절차, 코드 서명 및 업데이트 검증 매커니즘에 추가 비용을 지불할 가능성이 높다. 둘째, 호스팅 제공업체 및 클라우드 서비스 사업자는 신뢰성·보안성에 대한 고객 요구가 강화되면서 운영 및 보안 투자 확대를 요구받을 것이다. 셋째, 규제당국 및 업계 표준화 기구는 소프트웨어 공급망 보안에 관한 규제·가이드라인을 강화할 여지가 크다.
한편, 투자자 관점에서는 이번 사건이 직접적으로 특정 상장 기업의 주가에 즉각적 영향을 미칠지는 불확실하다. 다만 장기적으로는 공급망 보안에 대한 인식 제고가 관련 보안 솔루션 공급업체의 수요 증가로 이어질 수 있으며, 클라우드·호스팅 사업자들은 보안 역량을 차별화 요소로 삼아 시장 경쟁 구도에 변화를 줄 수 있다.
실무적 권고
보안 실무자 및 시스템 관리자는 다음과 같은 점을 우선 점검해야 한다. 첫째, Notepad++와 같은 도구의 업데이트를 받을 때에는 공식 도메인과 디지털 서명(가능한 경우)을 확인하고, 조직 차원에서는 중앙 집중형 소프트웨어 배포 및 검증 프로세스를 운영해야 한다. 둘째, 의심스러운 네트워크 트래픽이나 불특정한 프로세스 실행 징후가 발견되면 즉시 격리·분석을 진행하고, 필요한 경우 외부 전문기관과 협력해 사고 대응을 수행해야 한다. 셋째, 호스팅·CDN 공급자와의 계약 및 보안 로그에 대한 가시성을 확보해 제3자 인프라 리스크를 관리해야 한다.
결론
Notepad++ 업데이트 경로를 악용한 이번 공급망 공격은 오픈소스 소프트웨어 생태계와 그 배포 인프라의 보안 취약성을 여실히 드러냈다. 공급망의 어느 한 지점이라도 침해되면 최종 사용자에 대한 신뢰가 급격히 훼손될 수 있다. 보안 강화, 모니터링 확충, 공급자 관리의 체계화가 시급하며, 관련 기관들과 업계가 협력해 재발 방지 대책을 마련해야 할 필요성이 커졌다.
원문: AJ Vicens, 로이터(Reuters) 보도 자료에 기반1
