GN⁺ 3달전 | parent | ★ favorite | on: Notepad++가 국가 지원 해커에 의해 탈취됨(notepad-plus-plus.org)
Hacker News 의견들

  • 나는 프로그램이 실제로 필요하지 않으면 인터넷 접근을 차단하는 방화벽 습관 덕분에 이런 문제에서 꽤 안전하다고 생각함
    텍스트 에디터가 인터넷에 접근할 이유는 전혀 없음
    업데이트는 winget으로만 하고, 대부분 GitHub에서 설치 파일을 가져옴. 패키지 변경은 PR을 통해서만 가능하다고 알고 있음. 완벽하진 않지만 꽤 신뢰함

    • 업데이트 확인이나 플러그인 다운로드 같은 경우는 예외적으로 인터넷 접근이 필요하다고 생각함
    • macOS에서는 Little Snitch가 아주 유용함. 어떤 IP나 도메인에 연결되는지 즉시 알려주고, 허용·차단·규칙 설정을 쉽게 할 수 있음
    • 어떤 방화벽 소프트웨어를 쓰는지 궁금함. 나도 이제는 방화벽을 써야겠다는 생각이 듦

  • 업데이트를 미뤄서 아직 8.5.8 버전을 쓰고 있는데, 결과적으로 더 안전한 상황이 된 건가 하는 생각이 듦
    감염된 업데이트를 받은 사람들에게 실제로 어떤 일이 일어났는지 구체적인 정보가 있었으면 좋겠음
    설치된 Notepad++ 파일의 체크섬을 검증하는 도구가 있다면 도움이 될 듯함
    게다가 공지문에 오타가 많아서, 혹시 국가 지원 해커가 쓴 게 아닌가 하는 의심도 듦. 새 버전이 오히려 악성일 가능성은 없을까?

    • 대학 시절 교수들이 버그 있는 과제를 내주던 게 떠오름. 그래서 나는 항상 다른 사람들이 먼저 시도해보고 괜찮다고 할 때까지 기다렸음
      친구들이 먼저 업데이트를 시험해보고, 그 결과를 신뢰하는 web of trust 시스템이 있었으면 좋겠음
    • 최신 버전이 항상 더 안전하다고 생각하지 않음. 알려진 취약점이 없는 한, 오래된 버전이 오히려 안정적일 때가 많음
    • Notepad++ 공식 사이트에 따르면 사건은 2025년 6월부터 시작됨
      8.8.1 이하 버전은 안전하다고 함. GitHub에 각 버전의 SHA256 체크섬이 공개되어 있음
    • 오래된 버전이 항상 나쁜 건 아님. 업데이트가 오히려 품질을 떨어뜨릴 수도 있음
      자동 업데이트를 켜는 것보다 코드를 직접 검토하는 게 더 중요함
    • 인터넷과 직접 연결되지 않는 앱(메일, 브라우저, OS 등)을 제외하고는 자동 업데이트를 꺼둠
      무작위 앱이 악성 업데이트로 감염될 확률이 훨씬 높다고 생각함. 가끔 수동으로만 업데이트함

  • Chocolatey를 사용한 덕분에 이번 공격을 피할 수 있었음
    유지자가 SHA256 체크섬을 하드코딩해두었고, WinGuP를 전혀 사용하지 않음

  • 이런 상황에서 패키지 매니저의 장점이 드러남
    업데이트 서버의 취약점이나 체크섬 검증 여부를 알 수 없기 때문에, 자체 업데이트 기능은 신뢰하지 않음
    대신 choco update notepadpluspluswinget upgrade Notepad++.Notepad++로 관리함

  • 아마 이 사건은 Notepad++의 대만 관련 공지와 관련이 있을 듯함

    • Notepad++는 예전부터 정치적 메시지를 업데이트에 포함시켜왔음. 대만, 우크라이나 등과 관련된 입장을 밝힌 적이 있음
    • 예전에 Free Uyghur Edition도 있었음. 그때 GitHub 이슈가 중국어로 도배되었던 기억이 있음
    • 이번 공격은 개발자가 아니라 특정 사용자 집단을 노린 것으로 보임
    • 오픈소스 프로젝트 문서에 정치적 논의를 넣는 건 적절하지 않다고 생각함. 저자의 자유이긴 하지만 프로젝트에 해가 될 수도 있음
    • 중국 본토가 대만을 강제로 통합하려는 태도는 문제라고 생각함
      하지만 소프트웨어는 정치와 분리되어야 한다고 봄. 정치적 목표에 동의하더라도 코드에 섞는 건 불필요함

  • 소규모 팀이 유지하는 범용 툴은 언제나 걱정됨
    일부 설치본만 해킹돼도 공급망 공격으로 수많은 기업이 위험해짐

    • macOS 사용자라면 Little Snitch를 꼭 써야 한다고 생각함
      WiresharkBurp Suite 같은 도구로 트래픽을 직접 분석할 수도 있음
      이런 방화벽은 Windows나 Linux에서도 가능함
    • 자동 업데이트 기능이 보안적으로 불안함. 제대로 구현하려면 많은 엔지니어링 노력이 필요한데, 대부분의 회사가 그렇게 하지 않음
    • 대기업이라고 해서 이런 공격에서 면역된 건 아님. 방심하면 똑같이 당함

  • 특정 사용자의 트래픽이 공격자 서버로 리디렉션되어 악성 업데이트 매니페스트를 받았다고 함
    어떤 사용자가 표적이 되었는지 궁금하지만, 글에서는 중국 정부 지원 해커로 추정된다고만 언급됨

    • 아마 대학, 기업, 정부 기관의 IP가 주요 타깃이었을 것 같음
    • 일부 구버전 Notepad++의 업데이트 검증 절차가 미흡해서, 특정 사용자만 취약했을 가능성도 있음
    • 누가 서버를 해킹했는지는 모르겠음. 결국 “국가 행위자”로 돌리면 아무도 검증하지 않음

  • 표적 시스템이 실제로 어떻게 침해되었는지 궁금함

    • 자세한 내용은 Heise 기사DoublePulsar 분석에 있음
      8.8.7 이전 버전은 자가 서명 인증서를 사용했고, 그 키가 GitHub에 노출되어 있었음
      공격은 아시아 지역의 일부 사용자만 표적으로 삼은 수동 침입형 공격이었음
      호스팅 업체 탓만 하기보다는 개발자도 책임이 있다고 봄
    • 공급망 공격은 정말 무섭다고 느낌. 나도 Notepad++에서 민감한 파일을 자주 여는데, 혹시 유출된 건 아닐까 걱정됨
    • 아마도 업데이트를 통해 백도어를 심고 감시나 데이터 탈취를 시도했을 가능성이 큼
    • 여전히 누가 표적이었는지 명확하지 않음. 공식 발표가 너무 모호함

  • 결국 “그럼 나는 Notepad++을 어떻게 해야 하나?”라는 질문이 남음

    • 패키지 매니저를 사용했다면 이번 공격에는 영향을 받지 않았을 가능성이 높음. 다만 설치 파일 자체가 감염되면 여전히 위험함
    • 대안으로는 KDE의 Kate를 추천함. Chocolatey로 설치 가능함
    • 개인적으로는 Gedit도 과소평가된 좋은 선택이라고 생각함

  • 나는 새 소프트웨어를 설치하자마자 업데이트 확인 기능을 꺼버림
    이런 공격이 드물더라도, 업데이트 요청이 내 컴퓨터의 지문과 위치 정보를 노출시킨다고 생각함

    • 정말 이해가 안 됨. 원격 코드 실행 취약점은 결국 “소프트웨어가 원격에서 코드를 가져와 실행하도록 허용”할 때 생김
    • 물론 Room 641A 같은 감시 수준이라면, 아무리 조심해도 완벽히 피하기는 어려움
      위협 모델링을 통해 현실적인 수준의 보안을 유지하는 게 중요함
    • 그렇다면 반대로, 업데이트를 안 해서 생기는 취약점 노출은 어떻게 관리하느냐는 문제도 남음