내가 매일 쓰는 노트 앱이 위험할 수 있다고요?
개발자들이 정말 많이 쓰는 노트 앱 중에 "Obsidian"이 있죠. 마크다운 기반에다 플러그인으로 무한 확장이 가능해서, 개인 위키나 "제2의 뇌(second brain)" 도구로 쓰는 분들이 정말 많아요. 그런데 최근 공격자들이 바로 이 Obsidian의 플러그인 생태계를 악용해서 "Phantom Pulse RAT"라는 원격 접속 트로이목마(RAT)를 배포한 사건이 보고되었어요. 단순한 악성코드 한 건이 아니라, "내가 신뢰하던 도구가 공격 경로가 된" 전형적인 공급망 공격(supply chain attack) 사례라서 짚어볼 가치가 있습니다.
RAT가 뭐고, 왜 무서울까
RAT(Remote Access Trojan)이라는 건, 한마디로 "공격자가 내 컴퓨터를 원격으로 조종할 수 있게 해주는 악성코드"예요. 키보드 입력을 훔쳐보거나(키로깅), 화면을 캡처하거나, 파일을 빼내거나, 추가 악성코드를 더 받아오는 등 거의 모든 짓이 가능하죠. 그래서 RAT가 한 번 깔리면 비밀번호, 토큰, 사내 코드, 암호화폐 지갑 같은 민감한 정보가 통째로 털릴 위험이 큽니다.
Phantom Pulse RAT의 경우, Obsidian 플러그인이라는 "신뢰의 옷"을 입고 들어왔다는 게 핵심이에요. 개발자가 직접 "Community Plugins" 메뉴에서 검색해서 설치한 플러그인이거나, 깃허브에 공유된 비공식 설치 안내를 따라 받은 것들이 감염원이 되었던 거죠. Obsidian의 플러그인은 JavaScript로 작성되고, 실행 시 노드 환경의 API에 접근할 수 있어요. 이 말은 곧, 플러그인이 마음만 먹으면 파일 시스템을 읽거나, 외부 서버로 데이터를 보내거나, 또 다른 실행 파일을 다운로드해서 실행할 수도 있다는 뜻이에요.
공격은 어떻게 이뤄졌나
공격자들은 보통 두 가지 패턴을 씁니다. 하나는 처음부터 악성 플러그인을 그럴듯한 이름과 설명으로 위장해서 배포하는 거고, 다른 하나는 기존의 합법적인 플러그인을 인수하거나 메인테이너 계정을 탈취해서 거기에 악성 코드를 슬쩍 끼워 넣는 방식이에요. 두 번째가 더 무서운데, 사용자 입장에서는 "이미 잘 쓰고 있던 플러그인이 업데이트된 것"으로 보이기 때문에 의심할 여지가 없거든요.
설치된 악성 플러그인은 보통 Obsidian이 켜질 때마다 백그라운드에서 조용히 실행됩니다. 그러고는 외부의 C2 서버(Command and Control, 공격자가 명령을 내리는 서버)에 접속해서 "어떤 명령을 수행할까요?"라고 물어보는 거예요. 명령에 따라 추가 페이로드를 받아 실행하거나, 시스템 정보를 수집하거나, 파일을 빼돌리는 작업이 이루어지죠. 영리한 점은, Obsidian 자체는 정상 프로그램이기 때문에 안티바이러스 솔루션이 의심하기 어렵다는 거예요. "Obsidian.exe가 인터넷에 접속한다"는 건 너무나 자연스러운 일이거든요.
공급망 공격의 시대
이번 사건은 단발성 사고가 아니라, 큰 흐름의 일부입니다. 최근 몇 년간 npm, PyPI, VS Code 마켓플레이스, Chrome 웹스토어, Homebrew tap 등 거의 모든 패키지 생태계에서 비슷한 사건이 반복되고 있어요. 2024년에 있었던 XZ Utils 백도어 사건은 리눅스 핵심 라이브러리에 메인테이너를 위장한 공격자가 수년에 걸쳐 백도어를 심으려 했던 사례였고, npm에서는 매달 수십 건의 악성 패키지가 발견되고 있죠. 공격자들이 이제 직접 뚫는 것보다 "개발자가 자발적으로 설치하게 만드는 길"이 훨씬 효율적이라는 걸 알아챈 거예요.
Obsidian 같은 "커뮤니티 기반 플러그인 생태계"는 그 특성상 검수 강도가 앱스토어만큼 빡빡하지 않아요. 누구나 GitHub 리포지토리를 올리고 등록 요청을 하면 비교적 쉽게 마켓플레이스에 노출될 수 있죠. 이게 생태계의 풍부함을 만들어 준 장점이지만, 동시에 약점이 됩니다.
한국 개발자가 당장 해야 할 것
실무에서 바로 점검해볼 만한 것들이 몇 가지 있어요. 우선 본인이 Obsidian이나 VS Code, Cursor 같은 도구에 설치한 플러그인 목록을 한 번 쭉 훑어보세요. 안 쓰는 건 과감하게 지우는 게 좋고, 메인테이너가 갑자기 바뀌었거나 최근 업데이트 내역이 수상한 게 있으면 더 의심해봐야 합니다. 새 플러그인을 설치할 때는 GitHub 스타 수, 메인테이너의 활동 이력, 코드의 가독성과 난독화 여부 정도는 가볍게라도 확인하는 습관을 들이는 게 좋아요.
회사 차원에서는 개발자 머신에 설치되는 도구들을 추적할 수 있는 정책을 마련하는 게 점점 중요해지고 있어요. EDR(Endpoint Detection and Response) 솔루션이 비정상적인 자식 프로세스 생성이나 외부 통신을 잡아내는 데 도움이 되고요, 민감한 작업을 하는 환경에서는 노트 앱과 코딩 환경을 격리하는 것도 한 방법입니다. 비밀번호나 토큰을 노트에 평문으로 적어두는 습관도 이번 기회에 다시 한 번 점검해볼 만해요.
마무리
"내가 매일 쓰는 도구"가 가장 무서운 공격 경로가 되는 시대입니다. 편의성과 안전성 사이에서 어떤 균형이 맞다고 생각하세요? 여러분은 새 플러그인이나 익스텐션을 설치할 때 어떤 기준으로 신뢰 여부를 판단하고 계신가요?
🔗 출처: Hacker News
"비전공 직장인인데 반년 만에 수익 파이프라인을 여러 개 만들었습니다"
실제 수강생 후기- 비전공자도 6개월이면 첫 수익
- 20년 경력 개발자 직강
- 자동화 프로그램 + 소스코드 제공