북한 해커, 개발자 필수 도구 'VS Code'를 공격 무기로 활용... 워크플로우 남용 방식 포착

기사 제공처 : 아이티인사이트 / 등록기자: 최현웅 기자 [기자에게 문의하기] /

해당 기사에 관련하여 문의하기에 남겨주시면 "최현웅"기자에게 전송됩니다

이름

연락처

- -

이메일

일상 소프트웨어가 해킹 도구로 변한다면?

코드 개발자들이 가장 흔하게 사용하는 도구 중 하나인 Visual Studio Code(VS Code)가 북한 해커 그룹에 의해 공격 도구로 활용되고 있다는 사실이 보안 업계에 알려지면서 IT 커뮤니티에 경각심을 불러일으키고 있습니다. 특히 이번 공격은 기존의 소프트웨어 취약점을 악용하는 방식이 아니라, 정상적인 기능과 워크플로우를 남용하는 전혀 다른 접근법을 사용했다는 점에서 주목받고 있습니다.

보안 전문 매체 Security Boulevard의 최근 보고서에 따르면, 북한 해킹 그룹은 개발자들이 일상적으로 사용하는 VS Code의 내장 기능과 워크플로우를 악용하여 악성 코드를 실행하고 보안 시스템을 우회하는 데 성공했습니다. 이는 공격 전술의 광범위한 진화를 반영하는 사례로, 공격자들이 소프트웨어의 취약점을 직접 공격하는 대신 설계된 기능 자체를 악의적 목적으로 전용하는 방식으로 전환하고 있음을 보여줍니다. 전통적인 보안 방식은 일반적으로 소프트웨어나 시스템에서 발생하는 알려진 취약점을 중심으로 구축됩니다.

방화벽, 침입 탐지 시스템, 백신 프로그램 등은 대부분 시그니처 기반으로 작동하며, 이미 알려진 악성 코드 패턴이나 비정상적인 시스템 동작을 탐지하는 데 초점을 맞춥니다. 하지만 이번 사례는 소프트웨어 자체를 파괴하거나 변조하지 않고, 설계된 방식 그대로를 활용한다는 점에서 매우 독특합니다.

이에 따라 기존의 보안 통제 시스템은 이러한 신종 공격 방식을 정상적인 활동으로 간주하여 탐지하지 못하는 상황이 발생하고 있습니다. Visual Studio Code는 마이크로소프트가 개발한 무료 오픈소스 코드 편집기로, 전 세계 개발자 사이에서 가장 인기 있는 개발 도구 중 하나입니다. 가볍고 확장성이 뛰어나며, 다양한 프로그래밍 언어를 지원하고 풍부한 플러그인 생태계를 갖추고 있어 개발자들에게 필수적인 도구로 자리 잡았습니다.

문제는 바로 이러한 신뢰도 높은 필수 도구가 내장된 정상 기능을 통해 악의적인 목적으로 남용될 수 있다는 점입니다. 보고서에 따르면, 이번 공격에서 북한 해커들은 프로젝트 구성 파일에 악성 행위를 심는 방식을 사용했습니다.

VS Code는 프로젝트별로 다양한 설정과 작업을 자동화할 수 있는 구성 파일을 지원하는데, 공격자들은 이 기능을 악용하여 개발자가 프로젝트를 열거나 특정 작업을 실행할 때 악성 코드가 자동으로 실행되도록 설정했습니다. 이러한 방식은 프로세스 상에서 전혀 이상 징후를 보이지 않으며, 보안 시스템 역시 이를 개발자의 정상적인 워크플로우로 간주합니다.

이는 전통적인 보안 통제를 우회하고, 시그니처 기반 탐지 도구에 의한 발견을 회피하며, 신뢰할 수 있는 실행 경로 내에서 작동할 수 있게 합니다. 개발자들이 자신들의 개발 환경과 도구를 신뢰하고 사용하는 방식을 역으로 이용함으로써 탐지 가능성을 대폭 줄이는 효과를 발휘하는 것입니다. 악성 코드가 실행될 때쯤이면 이미 여러 단계의 전통적인 방어 체계를 모두 우회한 상태이기 때문에 피해 범위가 급격히 확대될 수 있습니다.

워크플로우 남용, 보안 시스템의 허를 찌르다

이러한 '워크플로우 남용' 방식이 점점 더 부각되는 이유는 무엇일까요?

보안 전문가들은 점점 복잡해지는 개발 환경과 상호 연결된 인프라가 새로운 공격 표면을 제공했다고 분석합니다. 현대 기업들은 클라우드 기반 개발 환경, 지속적 통합 및 배포(CI/CD) 파이프라인, 마이크로서비스 아키텍처 등을 통해 다양한 애플리케이션과 시스템을 긴밀하게 연결하고 있습니다.

이는 생산성과 효율성을 높이는 동시에, 공격자가 침투하고 이동할 수 있는 경로를 더 넓히는 결과를 낳았습니다. 북한 해커들은 이런 환경 변화 속에서 소프트웨어 자체의 취약점을 찾는 대신, 개발자들이 소프트웨어를 사용하는 방식 자체를 공격 벡터로 활용하는 전략을 선택했습니다. 이는 제로데이 취약점을 발견하고 악용하는 것보다 상대적으로 접근이 용이하면서도, 탐지를 회피하기에는 훨씬 효과적인 방법입니다.

또한 VS Code처럼 광범위하게 사용되는 도구를 표적으로 삼을 경우, 잠재적 피해 대상의 규모가 매우 크다는 장점도 있습니다. 물론 이러한 공격 방식은 기존의 단순한 멀웨어 배포나 피싱 공격에 비해 더 정교한 준비와 표적에 대한 이해가 필요합니다.

공격자는 표적이 사용하는 개발 도구, 워크플로우, 프로젝트 구조 등에 대한 사전 지식을 확보해야 하며, 악성 코드를 자연스럽게 삽입할 수 있는 방법을 설계해야 합니다. 하지만 그만큼 성공했을 때의 효과가 크고 탐지 가능성이 낮기 때문에, 특정 조직이나 개인을 표적으로 하는 표적 공격(targeted attack)에서는 매우 강력한 수단이 될 수 있습니다.

흥미롭게도, 이러한 공격 방식의 진화는 보안 업계의 또 다른 변화와 대비됩니다. 보고서는 윤리적 해커(ethical hacker)들의 역할이 단순한 외부 감사자에서 통합 보안 파트너로 전환되고 있다고 지적합니다.

점점 더 많은 조직들이 윤리적 해커를 개발 및 DevOps 팀과 함께 지속적으로 참여시켜, 인프라 변경, 새로운 애플리케이션 기능, 진화하는 공격 표면을 실시간으로 검토하도록 하고 있습니다. 이는 보안이 더 이상 개발 프로세스의 마지막 단계에서 점검하는 사후 조치가 아니라, 개발 생명주기 전반에 걸쳐 통합되어야 한다는 'DevSecOps' 철학과 일맥상통합니다.

단순히 방어 기술을 고도화하는 것뿐만 아니라, 개발자들이 보안을 염두에 두고 코드를 작성하고 도구를 사용하도록 교육하며, 보안 전문가와 개발자 간의 협력을 강화하는 것이 중요해지고 있습니다. 이러한 접근은 사용자의 신뢰와 교육을 통해 워크플로우 남용과 같은 새로운 형태의 공격에 대한 취약점을 줄이는 방식으로도 이어질 수 있습니다.

그렇다면 이러한 위협에 어떻게 대응해야 할까요? 첫째, 개발 환경을 구성하는 모든 도구와 소프트웨어에 대한 보안 점검을 정례화할 필요가 있습니다. 단순히 소프트웨어 자체를 최신 버전으로 업데이트하거나 알려진 취약점을 패치하는 것을 넘어서, 도구의 구성 파일, 플러그인, 확장 프로그램 등이 어떻게 사용되고 있는지를 면밀히 검토해야 합니다.

특히 외부에서 받은 프로젝트 파일이나 구성 파일을 열기 전에는 그 내용을 먼저 확인하는 습관이 중요합니다.

개발자와 기업은 어떤 준비가 필요할까?

둘째, 보안 관련 교육과 인식을 개발자 중심으로 확대해야 합니다. 대부분의 개발자들은 도구의 생산성과 편의성 측면에서만 기능을 평가하는 경향이 있지만, 해당 도구가 어떻게 보안 위협의 경로가 될 수 있는지에 대한 이해는 부족한 경우가 많습니다. 개발자들이 자신이 사용하는 도구의 보안 관련 기능과 잠재적 위험 요소를 이해하고, 안전한 개발 관행을 일상적으로 실천할 수 있도록 지속적인 교육과 가이드라인 제공이 필요합니다.

셋째, 조직 차원에서는 개발 환경에 대한 모니터링과 통제를 강화해야 합니다. 어떤 도구가 사용되고 있는지, 어떤 플러그인이나 확장 프로그램이 설치되어 있는지, 프로젝트 구성이 어떻게 설정되어 있는지 등을 중앙에서 관리하고 감시할 수 있는 체계를 구축하는 것이 도움이 됩니다.

또한 개발 환경에서 실행되는 프로세스와 네트워크 활동을 모니터링하여 비정상적인 행위를 조기에 탐지할 수 있는 시스템을 마련해야 합니다. 넷째, 신뢰 기반 보안 모델을 재검토해야 합니다. 전통적으로 내부 네트워크나 신뢰할 수 있는 도구에서 발생하는 활동은 안전한 것으로 간주되었지만, 이번 사례는 그러한 가정이 더 이상 유효하지 않을 수 있음을 보여줍니다.

제로 트러스트(Zero Trust) 원칙을 적용하여, 모든 활동과 접근을 검증하고, 최소 권한 원칙을 적용하며, 지속적으로 모니터링하는 접근 방식이 필요합니다. 결론적으로 이번 북한 해커들의 VS Code 악용 사례는 우리에게 중요한 교훈을 줍니다.

사이버 공격의 양상이 단순히 기술적 취약점을 찾아 악용하는 것에서, 사용자의 신뢰와 일상적인 워크플로우 자체를 무기화하는 방향으로 진화하고 있다는 것입니다. 신뢰하던 도구가 위협으로 변할 수 있는 시대에서는 기존의 경계 기반 보안 체계를 뛰어넘는 더욱 창의적이고 통합적인 방어 전략이 요구됩니다.

Visual Studio Code와 같은 개발 도구가 본래의 생산적인 목적과는 정반대로 사용될 수 있다는 사실은 이제 보안 커뮤니티에서 공유되고 있는 중요한 인식입니다. 개발자와 보안 전문가, 조직의 관리자들이 이 상황을 어떻게 이해하고 대응하는지에 따라 앞으로의 위협 양상과 피해 규모가 크게 달라질 것입니다. 지금 이 순간, 여러분의 개발 환경과 보안 시스템은 이러한 새로운 형태의 위협을 감지하고 방어할 준비가 되어 있습니까?

이는 단순한 질문이 아니라, 현대 디지털 환경에서 조직과 개인이 반드시 답해야 할 핵심 과제입니다.

김도현 기자

[참고자료]

vertexaisearch.cloud.google.com