v8.8.9 보안 공지 이후 조사 진행 상황과, 호스팅 제공자 수준에서 발생한 침해로 Notepad++ 업데이트 트래픽이 악성 서버로 선택적으로 리디렉션된 사건의 경과 및 대응 내용을 정리합니다.
v8.8.9 발표에 게시된 보안 공개 이후
https://notepad-plus-plus.org/news/v889-released/
조사는 외부 전문가들과의 협업 및 (현재는 전) 공유 호스팅 제공자의 전면적인 참여 하에 계속 진행되었습니다.
보안 전문가들이 제공한 분석에 따르면, 이번 공격은 인프라 수준의 침해를 포함하고 있었으며, 그 결과 악성 행위자가 notepad-plus-plus.org로 향하는 업데이트 트래픽을 가로채고 리디렉션할 수 있었습니다. 정확한 기술적 메커니즘은 아직 조사 중이지만, 침해는 Notepad++ 코드 자체의 취약점 때문이 아니라 호스팅 제공자 수준에서 발생했습니다. 특정 표적 사용자들의 트래픽만 선택적으로 공격자 통제 서버로 리디렉션되어 악성 업데이트 매니페스트가 제공되었습니다.
사건은 2025년 6월부터 시작되었습니다. 여러 독립 보안 연구자들은 위협 행위자가 중국의 국가 지원 그룹일 가능성이 높다고 평가했으며, 이는 캠페인 기간 동안 관찰된 매우 선택적인 표적화 양상을 설명해 줍니다.
보안 전문가가 사고 대응(IR) 계획을 제안했고, 저는 호스팅 제공자와 IR 팀 간의 직접 커뮤니케이션을 지원했습니다. IR 팀이 제공자와 협의하고 상황을 검토한 뒤, 제공자로부터 다음과 같은 상세한 입장문을 받았습니다:
친애하는 고객님,
서버 침해와 관련하여 이전에 안내드린 내용 및 고객님의 사고 대응 팀과 함께 진행한 추가 조사 이후, 더 자세한 업데이트를 드립니다.
저희는 로그에서 의심스러운 이벤트를 발견했으며, 이는 (2025년 12월 1일까지 고객님의 애플리케이션 https://notepad-plus-plus.org/update/getDownloadUrl.php 가 호스팅되던) 서버가 침해되었을 가능성이 있음을 시사합니다.
예방 조치로, 저희는 즉시 모든 고객의 웹 호스팅 구독을 해당 서버에서 신규 서버로 이전했으며, 추가 조사를 계속 진행했습니다.
다음은 주요 발견 사항입니다:
1. 문제의 공유 호스팅 서버는 2025년 9월 2일까지 침해되어 있었습니다. 해당 날짜에 커널과 펌웨어 업데이트가 포함된 정기 유지보수가 예정되어 수행되었습니다. 그 이후에는 로그에서 유사한 패턴을 식별할 수 없었고, 이는 악성 행위자가 서버 접근 권한을 상실했음을 의미합니다. 또한 다른 공유 호스팅 서버들에서는 유사한 패턴의 증거를 발견하지 못했습니다.
2. 악성 행위자가 2025년 9월 2일 이후 서버 접근 권한을 상실했음에도, 12월 2일까지 해당 서버에 존재하던 내부 서비스 자격 증명을 유지하고 있었으며, 이로 인해 https://notepad-plus-plus.org/getDownloadUrl.php 로 향하는 일부 트래픽을 자신들의 서버로 리디렉션하고, 침해된 업데이트가 포함된 다운로드 URL을 반환할 수 있었던 것으로 보입니다.
3. 로그를 기준으로 볼 때, 해당 서버에 호스팅된 다른 고객이 표적이 된 정황은 없습니다. 악성 행위자는 https://notepad-plus-plus.org/ 도메인을 특정하여 검색했고, 당시 Notepad++에 존재하던 업데이트 검증이 충분하지 않은 문제와 관련된 취약점을 알고 있었을 가능성이 있으며, 이를 통해 고객님의 웹사이트 트래픽을 가로채려 한 것으로 보입니다.
4. 조사 결론 이후, 2025년 12월 2일 이후부터는 웹 호스팅 시스템에서 조사된 보안 이슈가 더 이상 관찰되지 않았습니다. 그 이유는 다음과 같습니다:
* Notepad++를 표적으로 삼는 데 사용될 수 있었던 취약점을 수정했습니다. 특히 악성 행위자가 수정된 취약점 중 하나를 재악용하려 시도한 로그가 있으나, 수정 적용 이후 해당 시도는 성공하지 못했습니다.
* 2025년 9월 2일까지 악성 행위자가 획득했을 수 있는 모든 자격 증명을 교체(로테이션)했습니다.
* 모든 웹 호스팅 서버에서 유사 패턴을 로그로 점검했으며, 시스템이 침해되었거나 유사 방식으로 악용되었거나 데이터가 유출되었다는 증거를 찾지 못했습니다.
저희는 내부적으로 모든 비밀값을 교체했지만, 보안을 극대화하기 위해 고객님 측에서 수행하실 예방 조치를 아래에 안내드립니다. 다만 2025년 12월 2일 이후에 아래 조치를 수행하셨다면, 고객님 측에서 추가 조치는 필요하지 않습니다.
* SSH, FTP/SFTP, MySQL 데이터베이스 자격 증명을 변경하세요.
* 워드프레스 사이트(보유 시)의 관리자 계정을 검토하고 비밀번호를 변경하며, 불필요한 사용자를 삭제하세요.
* 워드프레스 사이트(보유 시)의 플러그인, 테마, 코어 버전을 업데이트하고 가능한 경우 자동 업데이트를 활성화하세요.
협조와 이해에 감사드립니다. 질문이 있으시면 언제든지 연락해 주세요.
TL;DR
전 호스팅 제공자에 따르면, 공유 호스팅 서버는 2025년 9월 2일까지 침해되어 있었습니다. 서버 접근을 잃은 이후에도 공격자는 2025년 12월 2일까지 내부 서비스 자격 증명을 유지했으며, 이로 인해 Notepad++ 업데이트 트래픽을 계속 악성 서버로 리디렉션할 수 있었습니다. 공격자는 구버전 Notepad++에 존재하던 업데이트 검증 통제 미흡을 악용하기 위해 Notepad++ 도메인을 특정 표적으로 삼았습니다. 제공자는 2025년 12월 2일까지 모든 복구 및 보안 강화 조치를 완료하여 추가 공격자 활동을 성공적으로 차단했습니다.
타임라인에 대한 참고: 보안 전문가의 분석은 공격이 2025년 11월 10일에 종료되었다고 보지만, 호스팅 제공자의 진술은 2025년 12월 2일까지 공격자 접근 가능성이 있었음을 보여줍니다. 두 평가를 종합하면, 전체 침해 기간은 2025년 6월부터 12월 2일(공격자 접근이 확실히 종료된 시점)까지였던 것으로 추정합니다.
이 심각한 보안 문제에 대응하기 위해, Notepad++ 웹사이트는 보안 관행이 훨씬 강력한 새로운 호스팅 제공자로 이전되었습니다.
Notepad++ 자체에서는 v8.8.9에서 WinGup(업데이터)을 개선하여 다운로드한 설치 프로그램의 인증서와 서명을 모두 검증하도록 했습니다. 또한 업데이트 서버가 반환하는 XML은 이제 서명(XMLDSig)되며, 인증서 및 서명 검증은 약 한 달 후 공개 예정인 v8.9.2부터 강제 적용될 예정입니다.
이번 하이재킹으로 영향을 받으신 모든 사용자께 진심으로 사과드립니다. v8.9.1 다운로드 (관련 보안 강화 포함) 후, 설치 프로그램을 실행하여 Notepad++를 수동으로 업데이트하시길 권장합니다.
이러한 변경과 보강을 통해 상황은 완전히 해결되었다고 믿습니다. 부디 별일 없길 바랍니다.
수정(2026년 2월 2일): 침해 지표(IoC, Indicator of Compromise)를 요청하는 이메일을 많이 받았습니다. 안타깝게도 공유할 IoC가 없습니다. IR 팀은 전 호스팅 제공자가 제공한 약 400GB의 서버 로그를 1주일 동안 분석했습니다. 침입의 징후는 확인되었지만, 바이너리 해시, 도메인, IP 주소 같은 구체적인 침해 지표는 발견되지 않았습니다. 전 호스팅 제공자에게도 IoC를 직접 요청했으나, 확보할 수 없었습니다.
수정 2(2026년 2월 3일): 어젯밤 Ivan Feigl(Rapid7)로부터 이메일을 받아, 그들의 훌륭한 조사 보고를 공유합니다. 동일한 사건인 것으로 보이며, 분명히 그들은 저보다 더 구체적인 정보( IoC 포함 )를 가지고 있습니다.