중국 연계 사이버 스파이 조직이 유명 오픈소스 코드 편집 플랫폼인 Notepad++의 업데이트 과정을 탈취해 특정 이용자에게 맞춤형 백도어와 기타 악성코드를 전달한 사실이 프로그램 개발자와 사이버보안 연구자들에 의해 확인됐다.
2026년 2월 2일, 로이터의 보도에 따르면, Notepad++의 개발자 도운 호(Don Ho)는 프로젝트 웹사이트에 게시한 블로그 글에서 “악의적 행위자들(malicious actors)이 2025년 6월부터 특정 표적 이용자들을 대상으로 업데이트 과정에 개입했다”고 밝혔다. 호는 해커들이 Notepad++ 업데이트를 제공하는 호스팅 서버에 대한 접근권을 2025년 9월 2일까지 유지했으며, 일부 호스팅 서비스의 인증정보는 2025년 12월 2일까지 유지했다는 점을 이메일로 확인했다.
도운 호는 블로그에서 “조사 결과 이 공격은 매우 선별적으로 이뤄졌다. 침해 기간 동안 모든 이용자가 악성 업데이트를 받은 것은 아니며, 이는 광범위한 배포가 아닌 의도적 표적화(타깃팅)를 시사한다”라고 밝혔다.
“What I do know from the investigation is that the attack was highly selective – not all users during the compromise window received malicious updates, indicating deliberate targeting rather than widespread distribution,”
호의 블로그에는 호스팅 제공업체가 내린 결론도 포함되어 있다. 해당 글은 업데이트를 고객에게 전달하는 데 사용된 서버가 “침해되었을 가능성이 있다”고 적시했으며, 해커들이 Notepad++와 연관된 도메인을 명확히 표적화했음을 언급했다. 인터넷 등록 기록은 해당 도메인이 리투아니아 기반 호스팅 제공업체 Hostinger에 의해 1월 21일까지 호스팅되었다는 사실을 보여주며, 이는 호가 이메일로 확인한 내용이다. Hostinger는 즉시 논평을 내지 않았다.
사이버보안 기업 Rapid7은 월요일 게시한 블로그 글에서 이번 해킹 캠페인을 Lotus Blossom으로 추적된 중국 연계 사이버 스파이 그룹의 소행으로 귀속했다. Rapid7은 Lotus Blossom이 2009년부터 활동해왔으며, 역사적으로 동남아시아의 정부, 통신, 항공, 중요 인프라 및 언론 부문을 표적화해 왔고, 최근에는 중앙아메리카 지역으로 표적 범위를 확대한 바 있다고 설명했다.
CISA(미국 사이버안보·인프라 보안국)의 대변인은 이 기관이 “보고된 침해 사실을 인지하고 있으며 미국 정부(USG) 전반에 걸친 가능한 노출을 조사 중”이라고 밝혔다.
중국 대사관 워싱턴 대표부의 대변인은 성명을 통해 “중국은 법에 따라 모든 형태의 해킹을 반대하고 싸운다. 우리는 사이버 공격을 장려·지원하거나 묵인하지 않는다”라며 “사실적 근거 없이 중국 정부가 후원한 해킹 행위라고 비난하는 관련 당사자들의 무책임한 주장에 반대한다”고 밝혔다.
분석 결과, 해킹 그룹은 자신들이 확보한 접근권을 이용해 인터랙티브(대화형) 제어가 가능한 맞춤형 백도어를 전달했다. 이 백도어는 감염된 컴퓨터에 대한 원격 조작을 허용하며, 이를 기반으로 데이터 탈취 및 내부 네트워크의 다른 컴퓨터를 표적화(수평 이동)하는 발판으로 이용될 수 있다.
사이버보안 연구자 케빈 보몬트(Kevin Beaumont)는 2025년 12월 2일 자신의 블로그에 세 곳의 조직이 “동아시아 관련 이익을 가진 곳들”로서 Notepad++와 연관된 보안 사고를 경험했을 가능성이 있다는 사실을 인지하고 있다고 밝혔다. 보몬트는 이들 조직이 정확히 어디인지나 피해 규모에 대한 구체적 수치는 공개하지 않았다.
용어 설명
공급망 공격(소프트웨어 공급망 공격)은 소프트웨어 제공 과정의 합법적인 업데이트나 배포 채널에 악성 코드를 주입해, 최종 사용자에게 악성코드가 전달되도록 하는 수법이다. 이번 사건은 개발자가 배포하는 공식 업데이트 경로가 공격자에 의해 악용된 전형적 사례다.
백도어(backdoor)는 공격자가 시스템에 은밀히 접근하고 명령을 내릴 수 있게 하는 숨겨진 접근 수단을 말한다. 원격 제어, 데이터 전송, 추가 악성코드 설치 등 다양한 악의적 활동의 기반이 된다.
Notepad++는 개발자들 사이에서 널리 사용되는 오픈소스 코드 편집기로, 경량성·플러그인 확장성·다양한 프로그래밍 언어 지원으로 인기를 얻었다. 다수의 기업 및 개발자가 코드 편집 및 간단한 스크립트 편집에 이용한다.
영향 분석 및 시사점
이번 사건은 오픈소스 소프트웨어 및 그 배포 인프라에 대한 신뢰성 문제가 얼마나 빠르게 보안 위협으로 전환될 수 있는지를 보여준다. 공식 업데이트 채널을 통한 악성코드 전달은 표적화된 피해를 야기할 수 있어, 기업 및 기관은 단순히 최신 버전 적용만으로는 충분치 않다. 특히 이번 침해가 선별적 표적화였다는 점은 고가치 타깃(정부, 통신사, 항공관련 기관 등)들이 더욱 높은 위험에 노출되었을 가능성을 시사한다.
경제적 관점에서 볼 때, 소프트웨어 공급망 침해는 직접적인 대응 비용(포렌식 조사, 패치·교체, 시스템 재구축), 규제·법적 비용, 그리고 신뢰 손실로 인한 간접 비용을 동반한다. 기업들은 보안 진단·모니터링·침해사고 대응 역량 강화를 위해 추가 예산을 배정할 가능성이 높다. 이로 인해 사이버보안 서비스, 보안 솔루션 공급업체, 관리형 탐지·대응(MDR) 시장의 수요가 단기·중기적으로 증가할 가능성이 있다.
또한 호스팅 제공업체나 패키지 배포 인프라를 운영하는 업체들은 보안 정책 강화와 함께 고객 신뢰 회복을 위한 추가 조치를 강구해야 한다. 오픈소스 프로젝트의 경우, 유지관리자가 한정된 리소스로 운영되는 경우가 많아 향후 정부·기업의 보안 지원, 코드 서명(Signing) 강제, 업데이트 경로의 다중 검증 체계 도입 등의 요구가 증가할 것으로 보인다.
실무적 권고
보안 담당자 및 조직은 다음과 같은 조치를 검토해야 한다: 공식 소프트웨어 업데이트에 대한 디지털 서명 검증, 공급망(서드파티) 컴포넌트에 대한 정기적 무결성 검사, 의심스러운 네트워크 활동에 대한 실시간 모니터링과 침해 발생 시 신속한 분리·격리 절차 마련, 그리고 중요 자산에 대한 최소 권한 원칙 적용. 또한 오픈소스 도구의 경우, 사용 중인 버전의 출처와 업데이트 이력을 주기적으로 검토하고, 필요한 경우 자체적으로 패키지 미러링(mirroring) 또는 내부 검증 체계를 마련하는 것도 권장된다.
결론
Notepad++ 공급망 공격 의혹 사건은 소프트웨어 공급망 보안의 취약성을 재확인시켰다. 조사 결과와 추가 공개 사항에 따라 영향을 받은 이용자 범위 및 피해 규모가 명확해질 것이며, 이는 향후 오픈소스 생태계와 호스팅·배포 인프라 운영 관행에 대한 광범위한 보안 강화 요구로 이어질 가능성이 크다. 관련 기관과 보안 업계는 이번 사건을 계기로 보다 엄격한 검증·모니터링 체계를 마련해야 할 필요가 있다.
