[센머니=현요셉 기자] 카스퍼스키(Kaspersky, 지사장: 이효은)가 자사의 글로벌 연구 분석팀(GReAT)을 통해 최근 발생한 노트패드++(Notepad++) 공급망 공격의 배후를 밝혀냈다. 이 공격은 필리핀 정부 기관, 엘살바도르 금융 기관, 베트남 IT 서비스 제공업체, 그리고 세 개국에 걸친 개인 사용자를 표적으로 삼았다. 공격자들은 최소 세 가지의 서로 다른 감염 체인을 활용했으며, 그 중 두 개는 아직 대중에게 공개되지 않은 상태다.
2025년 7월부터 10월까지 공격자들은 약 한 달 주기로 악성코드(멀웨어), 명령 및 제어(C2) 인프라, 그리고 전달 방식을 전면적으로 변경해왔다. 현재까지 문서화된 단일 공격 체인은 훨씬 더 길고 정교한 위협 공격의 마지막 단계에 불과하다는 것이 카스퍼스키의 분석이다.
노트패드++ 개발진은 2026년 2월 2일, 호스팅 제공업체 사고로 업데이트 인프라가 침해되었다고 발표했다. 그러나 공개된 보고서는 2025년 10월에 관찰된 악성코드에만 초점을 맞추고 있어, 7월부터 9월까지 사용된 다른 침해 지표(IoCs)에 대해서는 기업들이 인지하지 못한 상황이다.
각 공격 체인은 서로 다른 악성 IP 주소, 도메인 네임, 실행 방식, 그리고 페이로드를 사용했다. 따라서 10월에 공개된 IoC만으로 점검한 조직들은 이전 단계의 감염을 놓쳤을 가능성이 크다. 하지만, Kaspersky Next와 같은 카스퍼스키의 보안 솔루션은 공격자들이 사용한 모든 악성코드를 탐지할 수 있다.
카스퍼스키의 조지 쿠체린 GReAT 선임 보안 연구원은 "공개된 IoC를 기준으로 시스템을 점검했을 때 아무것도 발견되지 않았다고 해서 안전하다고 단정할 수 없다. 7월부터 9월까지 사용된 인프라는 IP, 도메인, 파일 해시 모두가 완전히 달랐으며, 도구 교체가 빈번했기 때문에 발견되지 않은 추가 공격 체인이 있을 가능성도 있다"고 경고했다.
또한, 카스퍼스키의 이효은 한국지사장은 "노트패드++ 공급망 공격 사례는 사이버보안 환경이 점점 더 복잡해지고 있음을 보여준다. 공격자들은 지속적으로 전술과 도구를 변화시키고 있으며, 기업이 알려진 공격 지표만으로 조사할 경우 큰 위험을 놓칠 수 있다. Kaspersky Next와 같은 솔루션은 다양한 유형의 악성코드를 포괄적으로 탐지할 수 있어, 끊임없이 진화하는 사이버 위협에 대한 견고한 방어선을 구축할 수 있다"고 강조했다.
카스퍼스키 GReAT는 보고되지 않았던 6개의 악성 업데이트 해시, 14개의 C2 URL, 8개의 악성 파일 해시를 포함한 전체 침해 지표 목록을 공개했다.
Copyright ⓒ 센머니 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
