CPU-Z, HWMonitor 공식 사이트가 해킹당했다 — 하드웨어 모니터링 툴을 쓴다면 꼭 확인하세요

무슨 일이 있었나요?

하드웨어 정보를 확인할 때 한 번쯤은 써봤을 CPU-Z와 HWMonitor, 이 두 프로그램을 만드는 CPUID라는 회사의 공식 웹사이트가 해킹당한 사실이 밝혀졌어요. 단순히 홈페이지가 변조된 수준이 아니라, 다운로드 파일 자체가 변조되었을 가능성이 제기되고 있는 건데요. 이건 꽤 심각한 문제예요.

CPU-Z는 CPU 모델명, 클럭 속도, 캐시 크기 같은 하드웨어 상세 정보를 한눈에 보여주는 유틸리티이고, HWMonitor는 CPU·GPU 온도, 팬 속도, 전압 등을 실시간으로 모니터링해주는 툴이에요. 특히 PC 조립이나 오버클럭을 하는 사람이라면 거의 필수로 설치하는 프로그램들이죠. 국내에서도 하드웨어 커뮤니티를 중심으로 사용자가 정말 많아요.

어떻게 해킹당한 건가요?

이번 사건은 이른바 공급망 공격(Supply Chain Attack)의 전형적인 사례예요. 공급망 공격이 뭐냐면, 소프트웨어를 만드는 쪽이나 배포하는 경로를 노려서, 사용자가 "공식 사이트에서 받았으니 안전하겠지"라고 믿는 그 신뢰를 악용하는 거예요. 직접 사용자 PC를 뚫는 게 아니라, 사용자가 스스로 설치하게 만드는 거죠.

CPUID의 공식 도메인(cpuid.com)이 탈취되었다는 보고가 나왔어요. 도메인 탈취는 DNS 하이재킹이나 레지스트라 계정 침해 등 여러 방법으로 일어날 수 있는데요, 공격자가 도메인의 DNS 레코드를 변경해서 사용자가 공식 주소를 입력해도 공격자가 만든 서버로 연결되게 만드는 방식이에요. 마치 진짜 가게 간판을 달아놓고 가짜 물건을 파는 것과 비슷하다고 보면 돼요.

이렇게 되면 사용자는 주소창에 정확한 URL을 입력했는데도, 실제로는 악성코드가 심어진 설치 파일을 다운로드받게 되는 거예요. SSL 인증서까지 새로 발급받았다면 브라우저의 자물쇠 아이콘도 정상으로 표시되니까, 일반 사용자가 눈치채기는 거의 불가능해요.

왜 이게 특히 위험한가요?

CPU-Z나 HWMonitor 같은 하드웨어 모니터링 도구의 특성상, 설치할 때 시스템 수준의 높은 권한을 요구하는 경우가 많아요. CPU 레지스터를 읽거나 센서 데이터에 접근하려면 커널 드라이버를 설치해야 하거든요. 즉, 사용자가 이 프로그램을 설치하면서 관리자 권한을 넘겨주는 게 자연스러운 상황이에요.

공격자 입장에서는 이게 금맥인 거죠. 사용자가 의심 없이 관리자 권한까지 주면서 설치해주니까, 악성코드가 시스템 깊숙이 자리잡기에 최적의 조건이 되는 거예요. 이전에도 CCleaner(2017년), SolarWinds(2020년), 3CX(2023년) 같은 유명한 공급망 공격 사례가 있었는데, 매번 수백만 명의 사용자가 영향을 받았어요.

개발자로서 주의할 점

이 사건은 단순히 "CPU-Z 안 쓰면 그만"이라는 이야기가 아니에요. 개발자라면 몇 가지 교훈을 얻어야 해요.

첫째, 다운로드한 파일의 해시값을 검증하는 습관을 들이세요. 공식 사이트가 해킹당하더라도, 제3의 채널(공식 SNS, 이전에 알려진 해시 등)을 통해 파일 무결성을 확인할 수 있어요. SHA-256 해시를 비교하는 건 몇 초면 되니까요.

둘째, 본인이 소프트웨어를 배포하는 입장이라면 도메인과 배포 인프라 보안을 더 신경 써야 해요. 레지스트라 계정에 이중 인증(2FA)은 기본이고, 도메인 잠금(registrar lock) 설정도 꼭 해두세요. 코드 서명(code signing)을 적용해서 설치 파일이 변조되면 OS 수준에서 경고가 뜨도록 만드는 것도 중요해요.

셋째, CI/CD 파이프라인에서 외부 의존성을 가져올 때도 같은 원칙이 적용돼요. npm, pip, Maven 같은 패키지 매니저를 통해 받는 라이브러리도 공급망 공격의 대상이 될 수 있으니, 의존성 잠금 파일(lock file)을 사용하고, 가능하면 해시 검증을 활성화하세요.

한국 개발자에게 주는 시사점

국내에서도 PC 조립 문화가 활발하다 보니 CPU-Z, HWMonitor 사용자가 상당히 많아요. 특히 하드웨어 커뮤니티에서 다운로드 링크가 공유되는 경우가 많은데, 지금 당장은 CPUID 공식 사이트에서의 다운로드를 자제하고, 사태가 완전히 수습되었다는 공식 발표가 나올 때까지 기다리는 게 좋겠어요.

만약 최근에 CPU-Z나 HWMonitor를 새로 설치했거나 업데이트했다면, 설치 파일의 디지털 서명을 확인해보세요. Windows에서 파일을 우클릭하고 속성 → 디지털 서명 탭에서 확인할 수 있어요. 서명이 없거나 CPUID가 아닌 다른 서명자로 되어 있다면 즉시 삭제하고 보안 점검을 진행하세요.